0

我是第一次学习 oAuth2。我将使用它通过两条腿的方法为一些简单的 Web 服务提供身份验证。

根据我所阅读的内容,流程应该是这样的:Web 服务客户端向 oAuth 服务器提供某种凭据(我正在考虑使用 JWT)。如果凭据有效,则 oAuth 服务器会返回访问令牌。然后,Web 服务客户端在尝试使用 Web 服务端点时提供访问令牌。

这是我的问题,为什么在向端点发出请求时不提供 JWT?为什么 oAuth 的流程是这样构思的。为什么不直接将 JTW 提供给端点并将其用于身份验证?获得访问令牌的额外步骤有什么好处?

谢谢!

4

1 回答 1

1

您当然可以将 JWT 直接提供给 Web 服务。问题是如何以服务信任的方式生成它。

JWT 是和 access_token,但并非所有 access_token 都是 JWT。

您的客户端可以发出 JWT,使用密钥(或证书)对其进行签名,然后将其发送到 API。拥有第 3 方 (an Issuer) 的优点是您可以将身份验证与颁发令牌分开。客户端可以通过多种方式进行身份验证(例如 usr/pwd、证书、密钥等),然后使用 JWT 调用您的 API。

额外的抽象为您提供了更大的灵活性和管理可扩展性。例如:如果您有 1 个 API 使用者,那么您可能只需要一个凭证(或 JWT 或其他)就可以了。如果您计划让许多客户使用您的 API,那么将该责任交给一个专门的组件(例如the issuer)会更有意义。

OAuth BTW 是为特定用例设计的:代表您将 API 的访问权限委托给另一个系统。您授予对系统 A 的访问权限,以代表您在权限范围内访问系统 B 上的资源。

于 2014-04-26T01:58:34.587 回答