OAuth访问令牌是否包含JWT令牌等角色

2018-06-16 23:40:14

我一直在浏览一些关于使用OAuth 2.0，OWIN和JWT（JSON Web Token）令牌来验证和授权访问ASP.NET Web API v2的示例/教程。我喜欢关于JWT令牌的一件事情，即用户所属的角色包含在令牌本身中。根据分配给带有令牌的用户的角色，我可以允许/拒绝访问API方法。

public class TestsController : ApiController
{
    [Authorize(Roles = "Admin")]
    [HttpGet]
    [Route("getdatetime")]
    public IHttpActionResult GetDateTime()
    {
        return Ok(String.Format("The current Date/Time is {0}", DateTime.Now));
    }
}

我查看OAuth令牌的原因是我无法找到一个示例来展示如何实现JWT Refresh令牌。我有几个如何实现OAuth Refresh令牌的例子，但可能不得不走这条路线。在这种情况下，我想知道OAuth令牌是否也可以包含JWT令牌等role信息。

我假设您将访问标记指定为Oauth标记，因此OAuth2.0 Spec本身并不强制访问标记的任何格式，因此您可以使用任何您喜欢的格式，可以是随机唯一字符串或json字符串。

因此，您可以很好地将JWT令牌用作OAuth访问令牌，并在发布时设置必要的声明（角色）。

希望有所帮助！

链接地址: http://www.djcxy.com/p/48033.html

上一篇: Do OAuth access tokens contain roles like JWT tokens

下一篇: OAuth2 response with client