我有些困惑如何使用OAUTH-v2。
访问受保护的资源
客户端通过向资源服务器提供访问令牌来访问受保护的资源。 资源服务器必须验证访问令牌并确保其未过期,并且其范围包括所请求的资源。 用于验证访问令牌的方法(以及任何错误响应)超出了此规范的范围,但通常涉及资源服务器与授权服务器之间的交互或协调。
在实践中,资源服务器和授权服务器之间的这种交互是如何工作的呢?
- 资源服务器如何确定收到的访问令牌是否有效?
- 资源服务器如何从令牌中提取允许的范围以查看是否应该将访问权限授予特定资源? 范围是否编码在访问令牌中,还是资源服务器首先要联系授权服务器?
- 资源服务器和授权服务器之间如何建立信任关系?
访问令牌属性和访问受保护资源的方法超出了此规范的范围,并由配套规范定义。
有人可以给出访问令牌属性的例子吗?