当前位置:网站首页>Oauth2协议中如何对accessToken进行校验
Oauth2协议中如何对accessToken进行校验
2022-07-06 19:26:00 【飘渺Jam】
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。
概述
本文来自球友Never Sett*
的提问
看完这个问题,我感觉读者对于accesstoken的校验逻辑不太清楚,所以特意写了这篇文章解释一下。
首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上accesstoken访问资源服务器。
其次,Oauth2认证服务器颁发的令牌有两种:不透明令牌(opaque tokens) 和 透明令牌(not opaque tokens) 说白了其实就是 uuid 和 jwt 的区别。
好了,现在问题来了,客户端带上 accesstoken 访问资源服务器,那资源服务器如何知道你这accesstoken是合法的呢?
当你是获取到的令牌是 uuid时,资源服务器自己肯定无法判断你令牌的有效性。
此时常见的一般有两种校验逻辑:
远程校验
授权服务器暴露一个端点,对于有效令牌,它会返回先前向其颁发该令牌的用户所授予的权限,这个端口称为 check_token端点(在很多地方也叫令牌自省端点)。我们可以直接使用认证服务器提供的默认接口/oauth/check_toen 也可以自定义一个接口。
资源服务器为每个请求调用check_token端点,这样,它就会验证从客户端接受的令牌,并获得授予客户端的权限。资源服务器可以通过在yaml中配置security.oauth2.resource.user-info-uri 指定认证服务器check_token端点地址。
黑板模式
资源服务器和授权服务器使用共享存储,常见的如数据库和redis。
授权服务器生成accesstoken后会将其持久化存储起来,这样资源服务器也可以通过访问此共享存储来校验accesstoken的有效性。
JWT
如果认证服务器给你颁发的是jwt,这时候客户端再带上jwt访问资源服务器,资源服务器自己就可以直接解析令牌了,无需调用认证服务器。不过需要注意的是使用jwt的时候一定要配置密钥,推荐生产环境使用非对称密钥。
小结
oauth2 中 accesstoken校验逻辑大体就上面三种
直接调用授权服务器
使用共享数据库(黑板模式)
直接使用JWT,资源服务器自己校验
现在实际开发中大部分情况下都是使用jwt,这样可以减少资源服务器与认证服务器的交互请求,提高访问效率。
当然,如果你对oauth2协议还不是很理解,推荐你看我之前录制的一个短视频,里面有详细说明。
边栏推荐
- Have fun | latest progress of "spacecraft program" activities
- Left value, right value
- Es6中Promise的使用
- The so-called consumer Internet only matches and connects industry information, and does not change the industry itself
- 普通测试年薪15w,测试开发年薪30w+,二者差距在哪?
- [leetcode]Search for a Range
- The annual salary of general test is 15W, and the annual salary of test and development is 30w+. What is the difference between the two?
- Google Earth Engine(GEE)——Landsat 全球土地调查 1975年数据集
- A complete tutorial for getting started with redis: RDB persistence
- 实施MES管理系统时,哪些管理点是需要注意的
猜你喜欢
Cloud Mail . NET Edition
wireshark安装
Summary of basic debugging steps of S120 driver
测试优惠券要怎么写测试用例?
A complete tutorial for getting started with redis: AOF persistence
What are the characteristics of the operation and maintenance management system
普通测试年薪15w,测试开发年薪30w+,二者差距在哪?
Software testing -- common assertions of JMeter interface testing
S120驱动器基本调试步骤总结
换个姿势做运维!GOPS 2022 · 深圳站精彩内容抢先看!
随机推荐
2022 spring recruitment begins, and a collection of 10000 word interview questions will help you
Babbitt | metauniverse daily must read: is IP authorization the way to break the circle of NFT? What are the difficulties? How should holder choose the cooperation platform
Utilisation de la promesse dans es6
代码调试core-踩内存
Statistics of radar data in nuscenes data set
服装企业部署MES管理系统的五个原因
安全交付工程师
Code line breaking problem of untiy text box
MySQL --- 常用函数 - 字符串函数
widerperson数据集转化为YOLO格式
MySQL - common functions - string functions
Cloud Mail . NET Edition
Metaforce force meta universe fossage 2.0 smart contract system development (source code deployment)
左程云 递归+动态规划
Fundamentals of process management
Apifox, is your API interface document rolled up like this?
Digital scrolling increases effect
Leetcode:minimum_ depth_ of_ binary_ Tree solutions
Huitong programming introductory course - 2A breakthrough
Redis introduction complete tutorial: replication principle