从授权代码推断OAuth2令牌端点
从授权代码推断OAuth2令牌端点
提问于 2022-09-16 19:14:31
我正在构建使用OAuth2访问志愿者健康数据的软件。我拥有一个测试服务器的软件,并且能够成功地获得OAuth访问令牌并查询服务器。
在生产中,OAuth2授权代码可能来自许多服务器。如何推断或识别授权代码来自哪个OAuth2端点?
我一直依赖于Epic的文件,但没有找到一种可靠的方法来判断我将从哪个Epic软件中获得授权代码。
我想,在获得授权代码时,我可以使用state参数来存储令牌端点,然后OAuth2响应将包含该状态信息。不过,我不确定这是否安全。
回答 2
Stack Overflow用户
回答已采纳
发布于 2022-09-19 19:42:30
我发现软件开发人员确实有责任存储与哪个OAuth2端点有关的信息。到目前为止,我还没有意识到这一点,但是FHIR JavaScript客户端使用浏览器存储(它的文档中没有详细讨论)来实现这个功能。
因此,我通过让我的应用程序存储程序存储特定用户的服务器,然后将它们重定向到FHIR端点来解决这个问题。
Stack Overflow用户
发布于 2022-09-18 16:12:49
特别提到史诗:
- 每个客户都会在授权流中点击一个不同的URL,因此您将知道它是基于您在授权流开始时使用的URL来执行的。
- 即使您正在使用Epic的API网关(Tesseract),URL中也会有识别实例的部分。
- 如果URL不够,Epic可以选择返回以JWT形式访问令牌,您可以检查这些JWT以获得实例的区别标识符。请注意,并非所有Epic客户都启用了此功能。
更广泛地说,访问令牌通常是不透明的,因此URL将是破译实例的更好选择。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/73749403
复制相关文章
相似问题
腾讯云开发者
