如何验证所提供的授权码是为我的特定客户端应用程序颁发的(可能使用其客户端ID,甚至客户端密码)?我需要这个,因为我将有多个OAuth2客户端应用程序,并且授权码将异步传递到应用程序。由于这些值以某种我不知道的方式相互关联,也许我们可以验证这一点?就像非对称加密的公钥签名一样。请注意,授权服务器不支持传递额外的数据,以便稍后与授权码一起获取。
vatpfxk51#
授权码绑定到颁发它的客户端。这由RFC6749严格执行,并在4.1.3.访问令牌请求部分中说明。本说明书有如下规定:授权服务器必须:
我想你不必显式地验证代码。相反,你可以使用代码来生成令牌。如果目标客户端正在请求令牌,那么它将返回令牌。否则,请求将被拒绝。
1条答案
按热度按时间vatpfxk51#
授权码绑定到颁发它的客户端。
这由RFC6749严格执行,并在4.1.3.访问令牌请求部分中说明。
本说明书有如下规定:
授权服务器必须:
我想你不必显式地验证代码。相反,你可以使用代码来生成令牌。如果目标客户端正在请求令牌,那么它将返回令牌。否则,请求将被拒绝。