Это может быть глупый или наивный вопрос, но: Подписываются ли токены OAuth2?Подписываются ли токенеры OAuth2?
Иными словами: способен ли потребитель проверить, был ли токен-носитель выпущен на определенном сервере авторизации?
Это может быть глупый или наивный вопрос, но: Подписываются ли токены OAuth2?Подписываются ли токенеры OAuth2?
Иными словами: способен ли потребитель проверить, был ли токен-носитель выпущен на определенном сервере авторизации?
No. Но there are efforts under way to fix this. HTTPS обеспечивает маркер был передан надежно, но это не говорит вам, выдавшего маркер.
На самом деле вы должны использовать OAuth по протоколу HTTPS, которая собирается быть ответствено подписания
Но как https помогает здесь? Если я переношу маркер безопасно с сервера auth на потребителя, штраф. Но как это помогает серверу ресурсов проверять, пришел ли токен с определенного сервера аутентификации, которому он доверяет? –
В моем случае должно существовать общение между сервером ресурсов и сервером auth для ex, использующего базу данных. И это может быть любой защищенный канал, использование https, чтобы быть уверенным, что сервер, разговаривающий с вами, надежен, но для того, чтобы быть уверенным, вы должны поместить токен в заголовок –