在随后的用户和应用服务器之间的通信中,app服务器如何知道用户是谁以及他的令牌是什么?
在随后的用户和应用服务器之间的通信中,app服务器如何知道用户是谁以及他的令牌是什么?
提问于 2022-02-05 09:39:42
在Oauth和Openidconnect中,appserver端点调用启动Oauth流,应用服务器从auth服务器获取令牌,并能够将令牌传递给资源服务器,以代表资源所有者访问资源(委托)。
令牌交换发生在应用服务器和资源服务器之间,令牌永远不会到达最终用户浏览器。
Q1:应用服务器是否存储针对用户的令牌?
Q2:在用户随后调用appserver端点时,appserver如何知道用户是谁以及将使用哪个令牌访问资源服务器?
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-02-05 11:09:16
(1)是。应用服务器将为每个用户存储令牌。
(2)使用cookie来维护用户会话。其思想是,在确认用户已通过身份验证(即获得访问令牌)后,应用服务器将为该用户生成一个唯一的会话ID,并将此会话Id与用户的访问令牌相关联。然后,该会话ID将作为cookie发送回用户的浏览器,以便当用户的浏览器向应用服务器发送后续请求时,应用服务器可以从cookie中获取此会话ID,并使用它获取访问令牌。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/71000528
复制相关文章
相似问题
腾讯云开发者
