OAuth 2.0 - 訪問受保護資源
客戶端向資源伺服器提供訪問令牌以訪問受保護資源。資源伺服器必須驗證並確認訪問令牌有效且尚未過期。
有兩種傳送憑證的標準方法 -
持有人令牌 - 訪問令牌只能放在 POST 請求正文或 GET URL 引數中,作為授權 HTTP 標頭中的後備選項。
它們包含在授權標頭中,如下所示 -
Authorization: Bearer [token-value]
例如 -
GET/resource/1 HTTP /1.1 Host: example.com Authorization: Bearer abc...
MAC - 使用請求的元素計算加密的訊息身份驗證程式碼 (MAC),並將其傳送到授權標頭。收到請求後,MAC 由資源所有者進行比較和計算。
下表顯示了訪問受保護資源的概念。
| 序號 | 概念和說明 |
|---|---|
| 1 | 經過身份驗證的請求
用於獲取授權程式碼令牌,以訪問系統中的所有者資源。 |
| 2 | WWW-Authenticate 響應標頭欄位
如果受保護的資源請求包含無效訪問令牌,則資源伺服器將包含“WWW-Authenticate”響應標頭欄位。 |
廣告