OAuth 2
OAuth主要靠Access Token來訪問受保護資源(protected resource),主要流程如下:
協議定義了幾種Authorization Grant 方式,其中一種最常用的是Authorization Code。
Authorization Code模式
Reference List
JWT
JWT規定了OAuth 2的Access Token格式,其RFC標準參考:JSON Web Token (JWT)
JWT Token使用Base64編碼,可以放入URL,HTTP Header,請求體中。
之前說過,OAuth 2下的微服務需要向AS(Authorization Server)驗證Token正確性,但是JWT Token是不需要的,因爲使用了簽名(非對稱加密,可以使用AS公鑰打開查看Token的過期時間,用戶信息等)。
另外,你也可以往Access Token中加入額外的自定義信息。