1. ホーム
  2. oauth

[解決済み] リソースサーバーのOAuth 2.0アクセストークンを検証する方法とは?

2022-04-20 19:43:16

質問

クライアントがリソースサーバーに、OAuth 2.0 アクセストークンを使って保護されたリソースを取得するよう依頼したとき、このサーバーはどのようにトークンを検証するのでしょうか?OAuth 2.0のリフレッシュトークンプロトコルですか?

どのように解決するのですか?

2015年11月に更新しました。 以下のHans Z.のように、これは現在、確かに以下の一部として定義されています。 RFC 7662 .

オリジナルの回答です。 OAuth 2.0仕様( RFC 6749 ) は、アクセストークン (AT) 検証のためのリソースサーバー (RS) と認可サーバー (AS) の間の相互作用を明確に定義していません。 これは、ASのトークン形式/戦略に依存します。あるトークンは自己完結しています(たとえば JSONウェブトークン また、サーバーサイドの情報をASで参照するだけのセッションクッキーに似たようなものもあります。

これまでにも いくつかの議論 OAuth Working Groupでは、RSがATの検証のためにASと通信するための標準的な方法を作成することについて議論しています。 私の会社(Ping Identity)は、商用OAuth AS(PingFederate)のために、そのような方法を考え出した。 https://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=lzn1564003025072.html#lzn1564003025072__section_N10578_N1002A_N10001 . これは、OAuth 2.0を補完するRESTベースのインタラクションを使用しています。