У меня небольшой вопрос, потому что я пытаюсь понять понятие сервера аутентификации. Я видел много диаграмм, объясняющих, например, oauth. Но кое-что я не понимаю. Это проверка токена, позволяющего получить доступ к серверу ресурсов.

Я сделал небольшую диаграмму, чтобы объяснить, в чем заключается мой вопрос.

Большое спасибо за ваш ответ :)

Хорошего дня

enter image description here

0
Geoffrey 25 Ноя 2016 в 15:51

2 ответа

Лучший ответ

Есть в основном два варианта:

  1. Проверьте сервер авторизации, чтобы убедиться, что токен действителен.
  2. Выпустить токены с самопроверкой (с использованием криптографических методов), чтобы сервер ресурсов мог быстро определить действительность токена.

Я считаю, что номер 2 гораздо более распространен, потому что он обеспечивает гораздо лучшую производительность.

Вот хорошая статья с изложением плюсов и минусов из двух подходов. Сводка их производительности:

Автономные маркеры доступа с подписью + RSA явным образом победили в этом тесте как минимум в десять раз.

1
Kevin Christopher Henry 25 Ноя 2016 в 13:38

Нет, сервер ресурсов должен иметь возможность принимать (расшифровывать и проверять срок действия, роли и т. Д.) Токены доступа, выданные сервером авторизации, и отвечать защищенным ресурсом, если токен доступа действителен.

Проверьте эту ссылку.

1
Xavier Egea 25 Ноя 2016 в 13:40