过去几天我一直在阅读oAuth,但有一件事情对我来说并不完全清楚。
所以我有这个oAuth授权服务器(在这里跳过几个步骤),最后提供了一个访问令牌,允许我访问一个特定的API。
现在大多数文章总是假定这个API将是某种包含用户信息的/ me端点。 假设这个API与Authorization Server位于同一台机器上
我想要做的是通过oAuth在整个networking中保护一些API。
所以,例如,我有这个API在foo.domain.com我的客户端要访问。 所以客户用他的clientId和证书(假设客户端证书授权)与AuthServer通话,并接收到一个AccessToken,它将把请求发送到foo.domain.com
现在我的问题是:foo.domain.com服务器如何访问AccessToken后面的数据(至less应该是clientId和scope)? 它将驻留在某种数据库中,您是否允许API主机访问该数据库?
从安全angular度来看,这似乎相当不安全。 如果我的API主机受到攻击,攻击者可以简单地从数据库中读取所有AccessToken,并访问任何存储令牌的API。
将您的策略限制为只接收“it's”令牌,同时保持集中式用户和凭证pipe理系统。
提前感谢您的build议
wirtsi