0 目錄

認(rèn)證授權(quán)系列:http://www.cnblogs.com/linianhui/category/929878.html

1 RFC6749還有哪些可以完善的?

1.1 撤銷Token

在上篇[認(rèn)證授權(quán)] 1.OAuth2授權(quán) 中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護(hù)資源的問題,但是只提供了如何獲得access_token,并未說明怎么來撤銷一個(gè)access_token。關(guān)于這部分OAuth2單獨(dú)定義了一個(gè)RFC7009 - OAuth 2.0 Token Revocation來解決撤銷Token問題。

1.2 Token對(duì)Client的不透明問題

OAuth2提供的“access_token"是一個(gè)對(duì)Client不透明的字符串,盡管有"scope","expires_in"和"refresh_token"來輔助,但也是不完善的且分散的信息。還拿上一篇的小明來舉例,“小明授權(quán)在線打印并且包郵的網(wǎng)站訪問自己的QQ空間相冊(cè)”。雙引號(hào)里面的這句話其中有4個(gè)重要的概念:

  1. 授權(quán)者小明:表示是小明授權(quán),而不是隔壁老王。

  2. 被授權(quán)者在線打印并且包郵的網(wǎng)站:表示授權(quán)給指定的網(wǎng)站,而不是其他的比如1024.com之類的網(wǎng)站(你懂的。。。)。

  3. 小明自己的QQ空間:表示讓被授權(quán)者訪問自己的信息,而不是隔壁老王的信息,小明也沒這權(quán)限來著,不然隔壁王嬸夜不答應(yīng)吧。。。

  4. 相冊(cè):表示你可以訪問我的相冊(cè),而不是我的日志,我的其他信息。

那么如何得到獲得上面提到的這些附加的信息呢?OAuth2又單獨(dú)提供了一個(gè)RFC7662 -OAuth 2.0 Token Introspection來解決Token的描述信息不完整的問題。

網(wǎng)友評(píng)論