gpt4 book ai didi

session - OAuth 2.0。没有 session ? (无国籍)

转载 作者:行者123 更新时间:2023-12-02 01:08:20 24 4
gpt4 key购买 nike

我将用它实现 OAuth 2.0REST API

为每个用户授予不同的权限,并且可以很好地扩展。

为了很好地扩展,无状态更容易,因为有

没有文件、数据库、基于内存的 session 。

<小时/>

以下是我对 OAuth 2 的理解。

  1. OAuth 服务器向用户提供访问 token 。
  2. 用户的访问 token 存储在 Cookie 中。
  3. 当用户访问 REST API 时,用户会发送访问 token 。
  4. 服务器接收带有访问 token 的请求。
  5. 服务器检查访问 token 是否有效以及用户是否有权执行请求。
  6. 根据用户的权限执行或拒绝。
<小时/>

所以我不必担心 session 存储。对吗?

最佳答案

您在这里描述的是 OAuth 2 Implicit Grant flow 。 OAuth 2 还包括其他三个流程,但由于您的资源所有者(用户)似乎正在使用浏览器端 Javascript(您正在谈论 cookie)发起请求,因此这是您应该选择的流程。

在客户端,OAuth 仅要求您存储用于访问 protected 资源的 access_token(如果您要使用即将过期的 access_token,则需要存储 refresh_token)。

关于session - OAuth 2.0。没有 session ? (无国籍),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11458364/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com