【发布时间】:2017-10-06 23:35:11
【问题描述】:
我已经阅读了很多关于 OAuth 和 OpenID 的内容,并且了解到 OAuth 协议是授权协议而不是身份验证协议的部分。 因此,如果 OAuth 中的授权服务器有权为可能托管在单独服务器上的受保护资源生成访问令牌,这是否意味着受保护资源与 OpenId 提供者或 OAuth 服务器属于同一方?
受保护的资源是否属于其他组织。如果是,是否存在受保护资源服务器验证访问令牌的标准化协议
【问题讨论】:
我已经阅读了很多关于 OAuth 和 OpenID 的内容,并且了解到 OAuth 协议是授权协议而不是身份验证协议的部分。 因此,如果 OAuth 中的授权服务器有权为可能托管在单独服务器上的受保护资源生成访问令牌,这是否意味着受保护资源与 OpenId 提供者或 OAuth 服务器属于同一方?
受保护的资源是否属于其他组织。如果是,是否存在受保护资源服务器验证访问令牌的标准化协议
【问题讨论】:
RFC 7662(OAuth 2.0 Token Introspection)是标准方式。
【讨论】: