security - 资源服务器应如何验证授权服务器颁发的 oauth 不记名令牌?
问题描述
假设我有一个授权服务器 (AS),它应该产生access_token
,并且我有另一个资源服务器 (RS),它为我的受保护资源提供服务。
我想知道 RS 应该如何验证access_token
AS 生成的内容?
我的困惑是,AS 应该有其签名的秘密方式access_token
,这不意味着其他人共享或知道,在这种情况下,RS 不应该知道 AS 是如何生成 thisaccess_token
的。
在这种情况下,RS 应该如何验证收到的令牌并确保令牌来自已识别的 AS?相反,验证 RS 上收到的令牌不应该是 AS 的责任吗?但是如果是这样的话,它不会面临任何性能瓶颈,因为对 RS 的每个 API 调用都需要额外的跳转到 AS 来验证令牌?
解决方案
推荐阅读
- python - 在 selenium 中迭代 webelements 总是只返回表格的第一行
- angular - 如何显示我的 Firebase 集合中的值?
- r - 修改两个变量的条件语句
- javascript - TypeError: HomeConsumer() 没有参数
- powerapps - PowerApps 如何根据选择的不同列表框项目禁用和启用不同的下拉菜单
- html - Angular7 only allow number input to accept 2 digit
- python - 是否可以访问 matplotlib 艺术家的光栅化表示?
- python - 如何使 python 中的 Image.open 与根目录一起工作
- javascript - (节点:13040)UnhandledPromiseRejectionWarning:DiscordAPIError:无法发送空消息
- javascript - 有没有办法将每个值添加到 JS 中 for 循环中的第一个值?