OAuth 2
OAuth主要靠Access Token来访问受保护资源(protected resource),主要流程如下:
协议定义了几种Authorization Grant 方式,其中一种最常用的是Authorization Code。
Authorization Code模式
Reference List
JWT
JWT规定了OAuth 2的Access Token格式,其RFC标准参考:JSON Web Token (JWT)
JWT Token使用Base64编码,可以放入URL,HTTP Header,请求体中。
之前说过,OAuth 2下的微服务需要向AS(Authorization Server)验证Token正确性,但是JWT Token是不需要的,因为使用了签名(非对称加密,可以使用AS公钥打开查看Token的过期时间,用户信息等)。
另外,你也可以往Access Token中加入额外的自定义信息。