如何解决使用授权代码流OAuth 2.0获取令牌后,API如何才能知道从前端发送的令牌是有效的?
可以说我已经创建了自己的应用程序。我们将前端和RESTful API作为后端进行响应,并且我们使用Google OAuth来对用户进行授权。前端正在调用API。前端使用OAuth的授权码流。从Google OAuth服务器获取访问令牌后,前端使用此令牌向我的后端发出呼叫。
现在,恶意用户将从Chrome的“网络”标签中获取我的API的URL和REST API所需的其他信息,并且可以直接使用访问令牌调用API。
问题:
How will my REST API know from where the request is coming?
Also how it will validate the access token?
Is it possible once User got all information about my REST API,it can call directly with fake access token?
我已经查看了授权码流程的示意图。以下是链接。 https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-app-types
But how will web api validate the token?
如果我缺少一些信息,请指导我。
解决方法
Google的OAuth服务器将向您的前端发出JSON Web令牌(JWT)。该令牌由Google私钥使用。您的API需要:
- 获取Google的公钥和
- 验证JWT的签名。
如果有效,则令牌源自Google。如果不是,那么它不是来自Google或被篡改过。
此后,您的API需要做一些其他检查:
- 检查到期时间,看看它不是过去的时间。可以在
exp
声明中找到。 - 检查令牌不仅来自Google,而且来自您的API。这可以通过查看
aud
(受众群体)声明并确定它适合您来完成。 - 检查令牌的发布时间,并确保它不在将来。签发时间在
iat
索赔中。 - 检查您是否应该已经开始使用它,并且使用期限内没有任何禁运。这将在之前的声明(
nbf
)中指出。 - 检查令牌的类型是否是访问令牌(与ID令牌相对)。
(您可以找到更长的more detailed description in this howto。)
如果您执行这些操作,则可以确保Google发行了令牌,并且该令牌专用于您的API。 它不会向您的API指示调用者是您的前端。原因是令牌是“承载令牌”,这意味着令牌仅绑定到承载或呈现令牌的令牌。 。为了确保只有您的应用提供令牌,您需要它来证明拥有私钥。据我所知,当使用Google作为令牌发行者时,这是不可能的。
,我的问题基本上是我的其余api如何验证令牌的完整性。我找到了链接:https://developers.google.com/identity/sign-in/android/backend-auth
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。