时间戳

首页 > 解决方案 > Web API 颁发的访问令牌的默认格式是什么?

asp.net - Web API 颁发的访问令牌的默认格式是什么?

问题描述

Web API 颁发的访问令牌的默认格式是什么?我正在为带有个人用户帐户的 ASP.NET Web API 标准模板(用于身份验证)。据我了解,格式不是 JWT 令牌格式;但是令牌的格式是什么?我尝试进行 Base64 解码,但没有成功。另外,据我了解,令牌包含与索赔相关的信息,如果我错了,请纠正我。虽然我使用 Web API 已经有一段时间了,但出于好奇,我还是问这个问题。

任何正确方向的指导都会有所帮助。谢谢 !!

标签: asp.netasp.net-web-apioauth-2.0jwtaccess-token

解决方案

来自oAuth 2.0 规范(1.4,访问令牌):

访问令牌是用于访问受保护资源的凭据。访问令牌是一个字符串,表示颁发给客户端的授权。该字符串通常对客户端是不透明的。令牌
代表特定的访问范围和持续时间,由
资源所有者授予,并由资源服务器和授权服务器强制执行。

……


访问令牌提供了一个抽象层,用资源服务器理解的单个令牌替换不同的授权结构(例如,用户名和密码) 。……

根据资源服务器的安全要求,访问令牌可以有不同的格式、结构……。访问令牌属性和用于访问受保护资源的方法......由配套规范定义,例如[RFC6750]

底线:没有“访问令牌的默认格式”。这是身份验证服务器和资源服务器应该同意的事情(AKA 合同设计)

推荐阅读