将OAuth请求与响应匹配

问题描述 投票:0回答:1

专注于authorization_code授权类型(服务器到服务器)我很困惑客户端(在这种情况下是一个Web服务器应用程序)如何匹配对传出请求的响应(肯定)。

响应是URL中的代码重定向(对令牌部分不感兴趣)。 Web服务器如何知道此代码属于谁?

authentication oauth oauth-2.0 authorization
1个回答
0
投票

在与OAuth合作几周后,我现在明白了它是如何工作的。

如果我们正在谈论授予应用程序A登录用户U授权访问资源R.

  1. 用户U在应用程序A中启动并在浏览器中登录,这意味着在大多数情况下使用会话令牌设置cookie。
  2. 用户U被重定向到他将登录的应用程序/资源R(或者使用资源R会话cookie自动登录)。
  3. 假设他授予请求,然后他在浏览器中将代码C重定向回应用程序A.
  4. 这里,应用程序A表单步骤1的会话cookie再次呈现给服务器,但是与代码C一起。应用程序A的服务器然后可以使用该代码来获得用户U的令牌。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.