【发布时间】:2015-08-07 13:48:09
【问题描述】:
我对 OAuth2 标准还很陌生,我想知道访问令牌(Oauth1)和不记名令牌(Oauth2)有什么区别。不记名令牌是一种访问令牌吗?承载代表什么?
【问题讨论】:
我对 OAuth2 标准还很陌生,我想知道访问令牌(Oauth1)和不记名令牌(Oauth2)有什么区别。不记名令牌是一种访问令牌吗?承载代表什么?
【问题讨论】:
OAuth 1.0 中的访问令牌与该请求中所有参数的签名一起显示在受保护的资源请求上。 OAuth 2.0 中的访问令牌定义更加灵活。一种实现是不记名访问令牌,其中令牌的提供者无需进一步签署请求即可访问受保护的资源。正如https://www.rfc-editor.org/rfc/rfc6750 的规范所说:
拥有不记名令牌(“不记名”)的任何一方都可以使用 它可以访问相关资源(不演示 拥有一个加密密钥)。
OAuth 2.0 也允许使用其他类型的访问令牌,包括在 OAuth 1.0 中需要所谓的“拥有证明” (PoP) 的令牌,但其标准正在开发中,请参阅 https://datatracker.ietf.org/doc/html/draft-ietf-oauth-pop-architecture。
请注意,一个主要区别是承载令牌只能用于受 TLS 保护的通道,因为必须防止泄漏,而 PoP 令牌(在 OAuth 1.0 和 2.0 中)也可以在纯 HTTP 上使用。
【讨论】: