OAuth与授权
OAuth与授权
提问于 2014-04-06 07:15:35
我构建了一个带有身份验证机制的RESTful服务。身份验证使用OAuth协议(使用来自oauth.net的库)。
我的服务是为学校管理服务。我现在只有教师小组。现在我也想添加学生面板,它几乎是一样的,但我不希望学生能够编辑东西,所以在这种情况下需要授权。
当老师想要登录时,他会向'authentcation.php‘发送post请求,如果字段是有效的,他将从OAuth获得身份验证令牌。学生们登录“authentication_students.php”
如何检查令牌是否具有在OAuth中使用授权编辑事物的权限?
回答 2
Stack Overflow用户
回答已采纳
发布于 2014-04-08 06:23:32
令牌验证是由OAuth 2.0规范故意发现的,因此确切的实现取决于您。服务器可以提供一个自定义端点,其中令牌有效性可以由受保护的资源检查,或者以客户端可以直接解释的格式发出令牌,而无需咨询服务器(例如,请参阅带有签名的JWS: json令牌)。
如果您使用的是一个库,您可以检查它支持的方法。
发出令牌时,应该为教师和学生请求不同的作用域(模拟到用户角色),以便根据授予客户端的令牌的作用域允许或拒绝对受保护资源的访问。
Stack Overflow用户
发布于 2014-04-06 08:38:42
令牌需要包含一个类似于"canEdit“= true/false的声明。在您的示例中,身份验证是从两个不同的页面完成的,因此填充此声明不应该是一个大问题吗?
如果我完全不在这里就告诉我?我是不是遗漏了什么?
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/22891063
复制相关文章
相似问题
腾讯云开发者
