2

私は OAuthAuthorizationServer サンプル ( sourceforgeが提供) に取り組んでおり、RSAParameters ResourceServerEncryptionPublicKey に、これをハードコーディングする必要がないというコメントと、それが何を意味するかについてのあいまいな説明があることに気付きました。ただし、実際の実装に関しては、私は従うことができません。

具体的には、「実際のアプリでは、認可サーバーは、認可リクエストに基づいて、アクセストークンをエンコードする必要があるリソースサーバーを決定する必要があります。次に、そのリソースサーバーの公開鍵を検索し、それを使用する必要があります。クライアントがそのリソース サーバーに対して使用するアクセス トークンを準備します。」

このコメントに記載されているリソース サーバーは Google/Facebook などですか? それらの公開鍵をどのように調べますか? 私はそこの基地から離れていますか?目標は、ここにリストされている質問に従うことです。その質問への回答はしっかりしていますが、より重要な詳細の一部を省略しています.

4

1 に答える 1

1

GoogleとFacebookはあなたが発行したトークンを受け入れないので、いいえ、あなたの場合のリソースサーバーはそれらのサイトではありません。リソースサーバーは、クライアントにユーザーデータを提供しているサーバーです。通常、それはあなたのWebサイトでもあります。実際、多くの場合、認証サーバー自体と同じサイトです。「認証サーバーが作成しているアクセストークンは、クライアントに送信した後、どこで使用されますか?」と自問してください。その答えはあなたのリソースサーバーです。

リソースサーバーが1つしかない場合は、そのリソースの公開鍵と秘密鍵のペアを作成し、公開鍵を承認サーバーにコピーする必要があります。同様に、認証サーバー用に別のキーペアを作成し、その公開キーをリソースサーバーにコピーする必要があります。

于 2013-03-05T04:18:54.133 に答える