OAuth2.0概念

Question

我与OAuth2密码授予类型-概念性混淆。

在这里中，令牌的实现类似于使用端点/声明

在本站或这个博客中，令牌由JSON对象实现，包含所有客户端凭证

有人能帮我更好地澄清这个概念吗？

Answer 1

如果您是指访问令牌，那么它可以是任意类型的(没有特殊意义的字符串，也可以是JSON、XML或其他格式)。OAuth2规范说：

访问令牌是一个字符串，表示向客户端发出的授权。对于客户端来说，字符串通常是不透明的。令牌表示由资源所有者授予并由资源服务器和授权服务器强制执行的特定访问范围和持续时间。令牌可以表示用于检索授权信息的标识符，也可以以可验证的方式自包含授权信息(即由某些数据和签名组成的令牌字符串)。

因此，它取决于OAuth2实现。

如果您指的是ID令牌 (来自OpenID连接)，那么它必须是JWT (签名的JSON)格式。

Answer 2

有四个Oauth2流来获取访问令牌(而不是ID令牌)，这取决于客户机系统代表最终用户获取访问令牌的方式。使用OAuth2口令授予流程，客户端应用程序显示登录页面，获取密码，并使用授权服务器的REST调用对用户进行身份验证。成功身份验证后，授权服务器将令牌返回给客户端应用程序。例如，移动应用程序，但它不如其他Oauth2流那么安全，应该只与可信客户端应用一起使用。我写了一篇关于这方面的文章，你可以查看它的更多细节，链接在这里https://www.linkedin.com/pulse/microservices-security-openid-connect-manish-singh。