私は最近 OAuth2 を調べていて、認証プロセスを理解していると思います。
ただし、私が理解していないように見えるのは、承認が行われ、access_token呼び出しを行うために確立された後、要求が特定のリソースにアクセスできるかどうかにrefresh_token基づいてどのように決定されるかということです。access_token
つまり、写真をリクエストするためにトークンがサーバーに送信されます。サーバー上のロジックは、指定されたトークンに基づいて、その特定の写真へのアクセスが許可されているか拒否されているかをどのように判断しますか?
アクセス トークンは実際には暗号化されたオブジェクトです。このオブジェクトはスコープを定義し、承認を再確立する場合があります。
サービス プロバイダーが HMAC で暗号化されたトークンを提供することを想像してみてください。これは意味がありませんが、エンドポイントはそれを復号化する方法を知っています。復号化すると、次のような情報が含まれます。
{"scope":"Photos", "userID":"3refefe"}
したがって、基本的にトークンを処理するモジュールは、この JSON (またはその他の形式) オブジェクトを暗号化し、暗号化されたトークンを提供します。API エンドポイントに到達すると、トークンが復号化ロジックに送信され、この JSON オブジェクトがフェッチされるため、何を行うことが許可されているかがわかります。
このオブジェクトには、サービス プロバイダーに応じて、任意のタイプの情報を任意の形式で含めることができます。ここでは、OAuth プロバイダーがどのように機能するかについて説明しました。
これは、最小限の OAuth フレームワークの基本を説明するものです。