[解決済み] リソースサーバーのOAuth 2.0アクセストークンを検証する方法とは?
質問
クライアントがリソースサーバーに、OAuth 2.0 アクセストークンを使って保護されたリソースを取得するよう依頼したとき、このサーバーはどのようにトークンを検証するのでしょうか?OAuth 2.0のリフレッシュトークンプロトコルですか?
どのように解決するのですか?
2015年11月に更新しました。 以下のHans Z.のように、これは現在、確かに以下の一部として定義されています。 RFC 7662 .
オリジナルの回答です。 OAuth 2.0仕様( RFC 6749 ) は、アクセストークン (AT) 検証のためのリソースサーバー (RS) と認可サーバー (AS) の間の相互作用を明確に定義していません。 これは、ASのトークン形式/戦略に依存します。あるトークンは自己完結しています(たとえば JSONウェブトークン また、サーバーサイドの情報をASで参照するだけのセッションクッキーに似たようなものもあります。
これまでにも いくつかの議論 OAuth Working Groupでは、RSがATの検証のためにASと通信するための標準的な方法を作成することについて議論しています。 私の会社(Ping Identity)は、商用OAuth AS(PingFederate)のために、そのような方法を考え出した。 https://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=lzn1564003025072.html#lzn1564003025072__section_N10578_N1002A_N10001 . これは、OAuth 2.0を補完するRESTベースのインタラクションを使用しています。
関連
-
[解決済み] OAuth 2.0のBearer Tokenとは具体的に何ですか?
-
[解決済み】OAuth v2には、なぜアクセス・トークンとリフレッシュ・トークンの両方があるのでしょうか?
-
[解決済み】OAuth2の「暗黙の」フローはとてもうまく機能しているのに、なぜ「認証コード」フローがあるのですか?
-
[解決済み】OAuth2.メリットとユースケース - なぜ?
-
[解決済み】OAuth 2の暗黙のグラント承認タイプの目的は何ですか?
-
[解決済み】OAuth 2.0 Bearer Tokenとは、具体的にどのようなものですか?
-
[解決済み】アクセストークンが失効するのはなぜですか?
-
[解決済み】OAuth 2は、Security Tokenを使用したリプレイ攻撃などからどのように保護するのでしょうか?
-
[解決済み】OAuth: ローカルのURLでテストする方法は?
-
[解決済み] リソースサーバーのOAuth 2.0アクセストークンを検証する方法とは?
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み] OAuth 2.0のBearer Tokenとは具体的に何ですか?
-
[解決済み] JWTとBearer Tokenの違いは何ですか?
-
[解決済み】OAuth 2.0 Bearer Tokenとは、具体的にどのようなものですか?
-
[解決済み】OAuth: ローカルのURLでテストする方法は?
-
[解決済み] OAuth Authorization CodeとImplicitワークフローの違いは何ですか?それぞれを使用するタイミングは?
-
[解決済み] リソースサーバーのOAuth 2.0アクセストークンを検証する方法とは?
-
[解決済み] OAuthでREST APIを保護しつつ、サードパーティのOAuthプロバイダによる認証を許可する(DotNetOpenAuthを使用する)
-
[解決済み] JWT (Json Web Token) Audience "aud" vs Client_Id - 違いは何ですか?