oauth-2.0 - 我是否正确考虑 OAuth 2

问题描述

几年来，我一直在构建和修改 Bearer 令牌和 OAuth/OAuth2。而且我觉得我已经很好地理解了它，但是当我搜索如何做我想做的事情时，我似乎找不到它。

一般的理解。有一个服务器可以授予令牌（以及验证/无效/刷新令牌）。然后是使用令牌的服务器（或应用程序）。我没有对外部 api 库做任何事情，但我们有几个公司网站，我想创建一个授予访问令牌的登录服务器。

因此，我将有 1 个服务器来授予令牌，然后有一个单独的 API 服务器使用该令牌来授权用户访问端点，当然还有前端部分。但我似乎遇到的问题是弄清楚如何设置服务器来使用令牌。每个人似乎都在解释如何创建授予它的服务器。这很酷，而且我知道如何从谷歌获取令牌并使用它。但我想创建一个通过访问令牌授予授权的服务器。

所以，我的 SPA 应用程序，比如说 react，从服务器 A 请求访问令牌，它是一个 OAuth2 服务器。我们正在使用凭据流，因为它是公司/注册用户登录。如果他们成功，他们将被授予访问和身份令牌。凉爽的。将它们存储在前端。然后，我想向服务器 B（网站 API 服务器）请求我的……约会。我将所述访问令牌作为不记名令牌传递。服务器 B 应设置为 OAuth 2 服务器，但只能作为客户端服务器。如果访问令牌（当然还有秘密）的范围和客户端与访问令牌不匹配，则拒绝用户访问服务器 B 的端点。服务器 B 不需要验证访问令牌，因为它知道服务器 A 使用的秘密。它可以自己验证它。

这是正确的还是我大量查看 OAuth2 错误？

标签： oauth-2.0