我今天问你是因为我处于死胡同。我错过了 apigee 中 Oauth2 和 OpenID 连接的逻辑部分。
我了解应用程序请求 Openid 连接以获取登录用户的个人资料,并且 OAuth2 为应用程序提供了一种通过访问令牌访问受保护资源的方式。
现在我们采取一个场景,一个受保护的资源需要验证登录的用户是他自己获得了授权令牌,我在这里做的这个说明是好还是我让事情变得复杂了?
问问题
151 次
1 回答
2
据我了解,您错过的是自省端点。
此端点是为资源服务器设计的。它允许他们获取有关客户端使用的访问令牌的详细信息。如果访问令牌处于活动状态,您将收到有关它的sub声明,尤其是代表资源所有者(即您的用例中的用户)的声明。
于 2017-12-02T20:42:12.800 回答