Saya sudah banyak membaca tentang OAuth2 mencoba untuk mengatasinya, tapi saya masih bingung tentang sesuatu.
Saya memahami bahwa klien mengotorisasi dengan penyedia OAuth (Google misalnya) dan memungkinkan Server Sumber Daya untuk memiliki akses ke data profil pengguna. Kemudian klien dapat mengirim token akses ke server sumber daya dan diberikan kembali sumber daya tersebut.
Tetapi apa yang tampaknya tidak tercakup dalam dokumentasi apa pun adalah apa yang terjadi ketika aplikasi klien meminta sumber daya server untuk sumber daya dan memberikannya token akses. Semua yang saya baca sejauh ini menyatakan bahwa server sumber daya hanya merespons dengan sumber daya yang diminta.
Tapi itu tampak seperti lubang besar, tentunya server sumber daya entah bagaimana harus memvalidasi token akses, kalau tidak saya bisa saja memalsukan permintaan lama dan melewati token lama, dicuri, palsu, atau dibuat secara acak dan hanya akan menerimanya.
Adakah yang bisa mengarahkan saya pada penjelasan sederhana untuk mengikuti OAuth2 karena sejauh ini yang saya baca merasa tidak lengkap.
Validasi token umumnya ditangani dalam 1 dari 2 cara.
1) Token ditandatangani secara kriptografis menggunakan kunci yang dibagikan sebelumnya. Ini jelas kedatangan singkat untuk digunakan dalam sistem terdistribusi dan berkembang biak.
2) Server Otorisasi (AS) menyediakan titik akhir untuk validasi token atau Introspeksi. Metode ini distandarisasi di IETF RFC 7662 pada Oktober 2015, lihat: https://tools.ietf.org/html/rfc7662
Pertanyaan / Jawaban Stack Overflow ini mencakup contoh-contoh dari Google dan Github: /programming/12296017/how-to-validate-an-oauth-2-0-access-token-for-a-resource-server
sumber
Anda membaca spec untuk cara memvalidasi token:
https://tools.ietf.org/html/rfc7662
harap ini membantu - tolong tandai jawabannya jika menjawab pertanyaan / masalah Anda
sumber