在 spring security oauth2 令牌验证期间,从资源服务器到底发送了什么到身份验证服务器
what exactly is sent from the resource server to the authentication server In spring security oauth2 during token validation
我了解资源服务器将使用令牌调用身份验证服务器以确认其有效。
然而,这个标记是否与 Cookie: JSESSIONID 相同?
Oauth 2.0 Bearer 令牌有两种类型 - 通用令牌(例如 java uuid 字符串)和 JWT 令牌。
通用令牌将连同其范围、有效期、客户端 ID、用户 ID 和其他相关信息一起存储在授权服务器令牌存储中。当客户端向资源服务器发送请求时,资源服务器需要联系授权服务器(Spring oauth 2.0)进行不记名令牌验证。
JWT 令牌包含有关其过期信息以及其他用户信息,并且足以在无状态会话中工作,在这里我们不需要验证来自授权服务器的 oauth 2.0 JWT 令牌。
JSESSIONID Cookie 由 spring security 默认创建,与 Bearer token 授权无关。
嗯,标准解决方案是内省请求,如本 post 的第 14 步:https://authguidance.com/2017/09/26/basicspa-oauthworkflow/
尽管并非所有解决方案都是基于标准的 - 我始终建议捕获 HTTP 流量
我了解资源服务器将使用令牌调用身份验证服务器以确认其有效。 然而,这个标记是否与 Cookie: JSESSIONID 相同?
Oauth 2.0 Bearer 令牌有两种类型 - 通用令牌(例如 java uuid 字符串)和 JWT 令牌。 通用令牌将连同其范围、有效期、客户端 ID、用户 ID 和其他相关信息一起存储在授权服务器令牌存储中。当客户端向资源服务器发送请求时,资源服务器需要联系授权服务器(Spring oauth 2.0)进行不记名令牌验证。 JWT 令牌包含有关其过期信息以及其他用户信息,并且足以在无状态会话中工作,在这里我们不需要验证来自授权服务器的 oauth 2.0 JWT 令牌。 JSESSIONID Cookie 由 spring security 默认创建,与 Bearer token 授权无关。
嗯,标准解决方案是内省请求,如本 post 的第 14 步:https://authguidance.com/2017/09/26/basicspa-oauthworkflow/
尽管并非所有解决方案都是基于标准的 - 我始终建议捕获 HTTP 流量