OAuth 2.0 - 访问受保护的资源
客户端向资源服务器提供访问令牌以访问受保护的资源。资源服务器必须验证访问令牌是否有效且未过期。
有两种发送凭据的标准方法 -
Bearer Token - 访问令牌只能放置在 POST 请求正文或 GET URL 参数中,作为授权 HTTP 标头中的后备选项。
它们包含在授权标头中,如下所示 -
Authorization: Bearer [token-value]
例如 -
GET/resource/1 HTTP /1.1 Host: example.com Authorization: Bearer abc...
MAC -使用请求的元素计算加密消息身份验证代码(MAC),并将其发送到授权标头。收到请求后,资源所有者将比较和计算 MAC。
下表显示了访问受保护资源的概念。
| 先生。 | 概念与描述 |
|---|---|
| 1 | 经过身份验证的请求
用于获取访问系统中所有者资源的授权码令牌。 |
| 2 | WWW-Authenticate 响应标头字段
如果受保护的资源请求包含无效的访问令牌,则资源服务器包括“WWW-Authenticate”响应头字段。 |