oauth-2.0 - 我是否正确考虑 OAuth 2
问题描述
几年来,我一直在构建和修改 Bearer 令牌和 OAuth/OAuth2。而且我觉得我已经很好地理解了它,但是当我搜索如何做我想做的事情时,我似乎找不到它。
一般的理解。有一个服务器可以授予令牌(以及验证/无效/刷新令牌)。然后是使用令牌的服务器(或应用程序)。我没有对外部 api 库做任何事情,但我们有几个公司网站,我想创建一个授予访问令牌的登录服务器。
因此,我将有 1 个服务器来授予令牌,然后有一个单独的 API 服务器使用该令牌来授权用户访问端点,当然还有前端部分。但我似乎遇到的问题是弄清楚如何设置服务器来使用令牌。每个人似乎都在解释如何创建授予它的服务器。这很酷,而且我知道如何从谷歌获取令牌并使用它。但我想创建一个通过访问令牌授予授权的服务器。
所以,我的 SPA 应用程序,比如说 react,从服务器 A 请求访问令牌,它是一个 OAuth2 服务器。我们正在使用凭据流,因为它是公司/注册用户登录。如果他们成功,他们将被授予访问和身份令牌。凉爽的。将它们存储在前端。然后,我想向服务器 B(网站 API 服务器)请求我的……约会。我将所述访问令牌作为不记名令牌传递。服务器 B 应设置为 OAuth 2 服务器,但只能作为客户端服务器。如果访问令牌(当然还有秘密)的范围和客户端与访问令牌不匹配,则拒绝用户访问服务器 B 的端点。服务器 B 不需要验证访问令牌,因为它知道服务器 A 使用的秘密。它可以自己验证它。
这是正确的还是我大量查看 OAuth2 错误?
解决方案
推荐阅读
- numpy - 从最大值减去标准偏差
- mongodb - 如何使用 .Net Core MongoDB Driver 构建 MongoDB 管道并将阶段附加到管道
- excel - 文件启动时的Excel索引选项卡?
- android-studio - 如何在网格视图下方添加“凸起按钮”?
- python - 仅对复选框进行排序
- android - 如何使用 Firebase 从我的后端触发通知?
- vuetify.js - 如何确保子元素不会在 vuetify 中使用 v-btn 对父元素的事件做出反应?
- r - 我如何在 R 数据框中使用“if”和“and”条件
- autodesk-forge - 使用 Model Derivate api 的 BIM360 设计能够看到 SVF2
- python - 我需要计算蛋白质片段的分子量并将这些值放在一个列表中