那些遇到过的问题

OAuth 2.0.没有会话?(无国籍)

Ins*_*dJW 12 rest session oauth stateless oauth-2.0

我将用它实现OAuth 2.0REST API

为每个用户授予不同的权限,并且还可以很好地扩展.

为了更好地扩展,无国籍更容易,因为有

没有文件,数据库,基于内存的会话.

以下是我对OAuth 2的理解.

  1. OAuth服务器为用户提供访问令牌.
  2. 用户的访问令牌存储在cookie中.
  3. 当用户访问REST API时,用户使用访问令牌发送.
  4. 服务器接收带访问令牌的请求.
  5. 服务器查明访问令牌是否有效以及用户是否有权请求.
  6. 根据用户的权限做或拒绝.

所以我不必担心会话存储.对?

Jan*_*ger 9

你在这里描述的是OAuth 2 Implicit Grant流程.OAuth 2还包括其他三个流程,但由于您的资源所有者(用户)似乎正在使用浏览器端Javascript(您正在讨论cookie)发起请求,因此这是您应该采用的流程.

在客户端,OAuth只要求您存储access_token用于访问受保护的资源(refresh_token如果您要过期,则需要存储access_token).

  • 要检查访问令牌,他必须有一个数据库服务器端.;) (2认同)
  • 忘记关于“redirect_uri”的部分,这是错误的。我该去睡觉了;) (2认同)

归档时间:

查看次数:

14320 次

最近记录:

10 年,7 月 前
相关归档
保护REST API和Slim框架 18
什么被归类为RESTful Web服务 9
基于Web API中的上下文的REST超媒体URI更改(HATEOAS) 8
不使用 cookie 时是否需要细粒度 CORS(REST API) 7
有没有办法从资源中获取flask_restful中的完整url 7
如何进行多站点身份验证 6
单个应用程序中的 SOAP 和 REST Web 服务 6
Spring MVC - 比较两个字段的验证 4
如何在分布式应用程序中管理会话 3
tastypie PUT有效,但POST没有 2
难疑归档
为什么GCC不优化a*a*a*a*a*a到(a*a*a)*(a*a*a)? 2083
如何在macOS或OS X上安装pip? 1676
如何检查字符串是否包含Objective-C中的另一个字符串? 1200
如何使用Windows开发机器为iPhone开发? 1161
命名类 - 如何避免将所有内容称为"<WhatEver> Manager"? 1147
Vim最有效的捷径是什么? 1127
JavaScript中是否有常量? 1118
angular.service vs angular.factory 1061
如何按值排序多维数组? 1058
在Notepad ++中将制表符转换为空格 1042