我今天问你,因为我走到了尽头 . 我已经错过了Oauth2和OpenID连接在apigee中的逻辑 .
我了解应用程序请求Openid connect拥有已登录用户的配置文件,并且OAuth2为应用程序提供了一种通过访问令牌访问受保护资源的方法 .
现在我们假设一个受保护资源需要验证登录用户是否已经获取授权令牌的情况,我在这里做的这个例子是好还是我让事情变得复杂?
根据我的理解,你错过的是the introspection endpoint .
此 endpoints 专为资源服务器而设计 . 它允许他们获取有关客户端使用的访问令牌的详细信息 . 如果访问令牌处于活动状态,您将收到有关它的声明,尤其是代表资源所有者的 sub 声明(即您的用例中的用户) .
sub
1 回答
根据我的理解,你错过的是the introspection endpoint .
此 endpoints 专为资源服务器而设计 . 它允许他们获取有关客户端使用的访问令牌的详细信息 . 如果访问令牌处于活动状态,您将收到有关它的声明,尤其是代表资源所有者的
sub
声明(即您的用例中的用户) .