如何解决在OAuth2中,/ introspect端点是供OAuth客户端调用还是由OAuth资源服务器调用?
我正在学习OAuth /introspect
端点,作为验证访问令牌的一种方法。我正在使用Okta,我认为它与问题有关。
I've read online that the /introspect
endpoint is intended to be called by an OAuth Resource Server(例如,OAuth客户端将调用提供访问令牌的资源服务器,资源服务器将调用/introspect
端点以确保令牌有效)。
但是,/introspect
端点(at least with Okta)要求您提供OAuth客户端凭据(作为基本身份验证标头,或者在没有客户端密码的情况下,仅提供{{ 1}}请求参数。
因此,资源服务器没有OAuth客户端ID和/或机密时,如何调用client_id
端点?这让我想知道/introspect
端点是否应该由OAuth客户端调用,这对我来说似乎没有用。
解决方法
根据我的理解,自省端点是由 API资源调用的。
API资源使用此端点,以验证由客户端应用程序发出的传入HTTP请求提供的承载令牌。
在大多数情况下,当提供的承载令牌是引用令牌时,因此API资源服务器需要知道提供的引用令牌是否与有效的访问令牌相关联。必须通过对自省端点的调用将此信息请求给安全令牌服务器。
您可以找到更多信息here in the identity server docs。身份服务器是openid连接协议的.NET实现,其基于oauth2。
This is a documentation that shows you how to call the introspection endpoint programmatically。本文档特定于名为identity model的.NET库,但这与您的问题无关,因为该库仅实现协议。
正如您在链接文档的示例中所看到的那样,在调用内省端点时需要指定的客户端ID就是API资源的名称。客户端密钥是您为API资源定义的API资源密钥。
因此,混乱的根源仅仅是术语过载。在对自省端点的调用的上下文中,以下两个等式均成立:
- 客户端ID == API资源名称
- 客户端密码== API资源密码
此docs证实了我的两个假设。
,如果这有帮助,请补充一下我的一些资源:
-
API Setup-请参见步骤6-您必须为该API注册OAuth客户端
-
API OAuth Messages-有关API需要处理的三种响应类型,请参见步骤16、17和19。
-
API Code-有关NodeJS中的示例实现
请参阅this文章。资源服务器必须是Okta处注册的客户端应用程序,/ introspect中的客户端凭据是引用此客户端的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。