OAuth2
談話中涉及多方參與。從文章here我是否需要使用OAuth 2訪問令牌來保護我的API端點(資源)?
想想看,我有一個爲restaurants
有數據,以及具有與它的API的應用程序考慮 如下圖。我們稱之爲restaurant
的API。讓我們分配本例中
User - our chefs, who have some recipes in restaurant
Application - Web client written in HTML5, JS, CSS that our Users use to interact with APIs
OAuth Endpoint - Google (who acts as Authorization Server)
API - My application API keeping all data for chefs
的背景下一些作用,每一方
爲Implicit
工作流(按照上面的鏈接圖)規定的Application
得到access token
,然後Application
(瀏覽器)調用API
(我申請廚師食譜)並獲取數據。
問題
我不應該
secure
我的應用程序的端點或者說只相信accesssTokens
?是的,信託建立在Application
和OAuth Endpoint
(Google)之間,但是沒有trust
開發API
和Application
確認accessToken
與OAuth Endpoint
(Google)的有效性?如果我要保護我的應用程序API終點,我將有一個
/login
終點爲我APIs
在我的應用程序接受accessTokens
,驗證,並創建一個基於JWT
頭,爲客戶作進一步的溝通與保護資源,如/recipes
使用。
期待您的想法在這裏。
在此先感謝
感謝您的回覆。我相信而不是'accssTokens',最好是獲得'id_token',然後使用'Google Java客戶端庫'(我的服務器是用'Java'編寫的)在'/ login'端點上驗證它,網絡請求(儘管附加依賴)。請參閱https://developers.google.com/identity/sign-in/web/backend-auth – daydreamer
@daydreamer有意義,如果您可以在沒有任何網絡請求的情況下在本地驗證它。對此並不熟悉。只要確保遵循所有返回的字段的所有驗證步驟 – YSK
當然,聽起來不錯。謝謝! – daydreamer