(D) 授权服务器对客户端进行身份验证并验证授权许可,如果有效,则颁发访问令牌(access token)并返回。
(E) 客户端通过访问令牌向资源服务器请求受保护的资源。...(F) 资源服务器验证访问令牌, 如果有效, 则返回相应的资源。...如果客户端知道了访问令牌已经过期,它跳到步骤(G), 如果不知道, 继续向资源服务器发起请求。
(F) 由于访问令牌无效,资源服务器返回无效的令牌错误。..., 验证通过后, 返回受保护的资源
这里有一个问题是, 文章上面说 access_token 只是一个字符串, 那么资源服务器如何来验证该令牌?..., 授权服务器验证通过后, 返回访问令牌和可选的刷新令牌, 这种模式的特点是, 用户和客户端是高度信任的。