OAuth 2.0 - 访问受保护资源
客户端向资源服务器提供访问令牌以访问受保护资源。资源服务器必须验证并确认访问令牌有效且尚未过期。
有两种发送凭证的标准方法 -
持有人令牌 - 访问令牌只能放在 POST 请求正文或 GET URL 参数中,作为授权 HTTP 标头中的后备选项。
它们包含在授权标头中,如下所示 -
Authorization: Bearer [token-value]
例如 -
GET/resource/1 HTTP /1.1 Host: example.com Authorization: Bearer abc...
MAC - 使用请求的元素计算加密的消息身份验证代码 (MAC),并将其发送到授权标头。收到请求后,MAC 由资源所有者进行比较和计算。
下表显示了访问受保护资源的概念。
| 序号 | 概念和说明 |
|---|---|
| 1 | 经过身份验证的请求
用于获取授权代码令牌,以访问系统中的所有者资源。 |
| 2 | WWW-Authenticate 响应标头字段
如果受保护的资源请求包含无效访问令牌,则资源服务器将包含“WWW-Authenticate”响应标头字段。 |
广告