OAuth 2.0访问令牌有哪些内容?
RFC对访问令牌中的内容非常模糊:
令牌可以表示用于检索授权信息的标识符,或者以可验证的方式自我包含授权信息[ch.1.4,p.2]
公平的说,实现细节并不是RFC应该关注的东西。 在事物的宏伟计划中让我感到沮丧的是'资源'这个词。
访问令牌被客户端用来从资源服务器检索资源(对我来说,这意味着'单数')。 这是否意味着访问令牌包含单个资源的ID以及为该资源授予的权限? 例如,作为JWT有效载荷:
{
"type" : "image",
"id" : "42"
"permissions" : "read,update"
}
如果是这样,那么授权服务器如何包含有关每个资源的信息,以及谁有权对每个资源执行什么操作,而不必紧密耦合到资源服务器?
如果不是,那么访问令牌包含什么? 这是否意味着在资源服务器上还会进行一定程度的权限检查?
链接地址: http://www.djcxy.com/p/48037.html