如何使用令牌对 REST 服务进行身份验证
How are REST services authenticated using tokens
我浏览了各种解释使用令牌进行身份验证的博客。
但是 none 的站点已经解释了令牌身份验证如何在 REST 服务端工作。
例如:我有一个令牌 T1,它由身份验证服务器提供给我的应用程序。
我会将此 T1 与我对 REST 服务 S1 的请求一起发送。那么 S1 如何知道 T1 来自经过身份验证的客户端呢?
对 REST 服务的请求是否每次都经过身份验证服务器?
I have a token T1 which is given to my app by the authentication server. I will send this T1 with my request for REST service S1. So how will S1 come to know that T1 is from authenticated client?
这取决于您在服务器端的身份验证机制的实现。例如,如果您使用 OAuth,它将基于客户端指定的 client_id
和 client_secret
。
And does the request for REST services goes through authentication server everytime?
是的,REST 服务应该是无状态的,因此对于每个请求都会执行一些身份验证逻辑来验证令牌(OAuth、自定义等)是否有效。它可能不是转到身份验证服务器并返回的完整流程,但有一些基于您的安全实现的逻辑。
我浏览了各种解释使用令牌进行身份验证的博客。 但是 none 的站点已经解释了令牌身份验证如何在 REST 服务端工作。 例如:我有一个令牌 T1,它由身份验证服务器提供给我的应用程序。 我会将此 T1 与我对 REST 服务 S1 的请求一起发送。那么 S1 如何知道 T1 来自经过身份验证的客户端呢? 对 REST 服务的请求是否每次都经过身份验证服务器?
I have a token T1 which is given to my app by the authentication server. I will send this T1 with my request for REST service S1. So how will S1 come to know that T1 is from authenticated client?
这取决于您在服务器端的身份验证机制的实现。例如,如果您使用 OAuth,它将基于客户端指定的 client_id
和 client_secret
。
And does the request for REST services goes through authentication server everytime?
是的,REST 服务应该是无状态的,因此对于每个请求都会执行一些身份验证逻辑来验证令牌(OAuth、自定义等)是否有效。它可能不是转到身份验证服务器并返回的完整流程,但有一些基于您的安全实现的逻辑。