我是第一次学习oAuth2。我将使用它来使用两条腿的方法为一些简单的web服务提供身份验证。
根据我所读到的内容,流程应该是这样的:web服务客户端向oAuth服务器提供某种凭据(我正在考虑使用JWT)。如果凭据有效,oAuth服务器将返回一个访问令牌。web服务客户端然后在尝试使用web服务端点时提供访问令牌。
我的问题是,为什么不在向终点提出请求时提供JWT?为什么oAuth的流程是这样构思的。为什么不直接向JTW提供到端点并将其用于身份验证呢?获得访问令牌这一额外步骤的好处是什么?
谢谢!
您当然可以直接向web服务提供JWT。问题是如何以服务信任的方式生成它。
JWT是和access_token,但并不是所有的access_tokens都是JWT。
您的客户可以发布JWT,用密钥(或证书)签名,然后将其发送到API。拥有第三方(Issuer)的优势在于,您可以将身份验证与发布令牌分离。客户端可以通过多种方式进行身份验证(例如usr/pwd、证书、密钥等),然后使用JWT调用API。
额外的抽象为您提供了更大的灵活性和管理可扩展性。例如:如果您的API有一个消费者,那么您可能可以使用单个凭证(或JWT,或其他)。如果您计划让许多客户端使用您的API,那么将责任交给专门的组件(例如the issuer)更有意义。
OAuth BTW是为一个特定的用例而设计的:代表您将对API的访问委托给另一个系统。您授予对系统A的访问权限,以代表您使用权限范围访问系统B上的资源。