OAuth 2.0 - 访问受保护的资源
客户端向资源服务器提供访问令牌以访问受保护的资源。 资源服务器必须验证并验证访问令牌是否有效且未过期。
有两种发送凭据的标准方法 −
Bearer Token − 访问令牌只能放置在 POST 请求正文或 GET URL 参数中,作为授权 HTTP 标头中的后备选项。
它们包含在授权标头中,如下所示 −
Authorization: Bearer [token-value]
例如 −
GET/resource/1 HTTP /1.1 Host: example.com Authorization: Bearer abc...
MAC − 使用请求的元素计算加密的消息身份验证代码 (MAC),并将其发送到授权标头。 资源所有者收到请求后,会比较并计算 MAC。
下表显示了访问受保护资源的概念。
| 序号 | 概念和描述 |
|---|---|
| 1 | 经过身份验证的请求
用于获取访问系统中所有者资源的授权码令牌。 |
| 2 | WWW-Authenticate 响应标头字段
如果受保护的资源请求包含无效的访问令牌,资源服务器将包含"WWW-Authenticate"响应标头字段。 |
