验证Oauth2授权令牌以查看是否为特定客户端颁发

q5lcpyga  于 2022-11-28  发布在  其他
关注(0)|答案(1)|浏览(146)

如何验证所提供的授权码是为我的特定客户端应用程序颁发的(可能使用其客户端ID,甚至客户端密码)?
我需要这个,因为我将有多个OAuth2客户端应用程序,并且授权码将异步传递到应用程序。由于这些值以某种我不知道的方式相互关联,也许我们可以验证这一点?就像非对称加密的公钥签名一样。
请注意,授权服务器不支持传递额外的数据,以便稍后与授权码一起获取。

vatpfxk5

vatpfxk51#

授权码绑定到颁发它的客户端。
这由RFC6749严格执行,并在4.1.3.访问令牌请求部分中说明。
本说明书有如下规定:
授权服务器必须:

  • 请确保授权代码已颁发给经过身份验证的机密客户端,或者如果客户端是公共客户端,请确保该代码已颁发给请求中的“client_id

我想你不必显式地验证代码。相反,你可以使用代码来生成令牌。如果目标客户端正在请求令牌,那么它将返回令牌。否则,请求将被拒绝。

相关问题