2

我正在研究 OAuthAuthorizationServer 示例(由sourceforge提供),我注意到 RSAParameters ResourceServerEncryptionPublicKey 有评论说这不需要硬编码,并且对这意味着什么有模糊的描述。但是,关于实际实施,我无法遵循。

具体来说:“在一个真实的应用程序中,授权服务器需要根据授权请求确定访问令牌需要为哪个资源服务器进行编码。然后它需要查找该资源服务器的公钥并将其用于为客户端准备访问令牌以针对该资源服务器使用。”

此评论中描述的资源服务器是 Google/Facebook 等吗?我们将如何查找这些公钥?我离那里很远吗?目标是遵循此处列出的问题。该问题的回答是可靠的,但遗漏了一些更丰富的细节。

4

1 回答 1

1

谷歌和 Facebook不会接受你发行的令牌,所以不,你的资源服务器不是那些网站。资源服务器是向客户端提供用户数据的服务器。通常,这也是您的网站。事实上,它通常与授权服务器本身是同一个站点。问问自己“在我将授权服务器创建的访问令牌发送给客户端后,它将在哪里使用?” 答案是您的资源服务器。

如果你只有一个资源服务器,你应该为它创建一个公钥/私钥对,并将公钥复制到授权服务器中。同样,您应该为您的授权服务器创建另一个密钥对并将其公钥复制到您的资源服务器中。

于 2013-03-05T04:18:54.133 回答