比较Oauth令牌与先前保存的令牌

本文关键字:令牌 保存 Oauth 比较 | 更新日期: 2023-09-27 18:16:31

我正在做一个项目,我目前正在尝试添加额外的安全级别。这个想法是,当生成Oauth令牌时,我们将其与保存在数据库中的令牌进行比较,如果它们不匹配,则拒绝用户。我的问题是,我试图在身份验证流程期间进行比较,然后从/令牌端点向最终用户提供令牌,但我找不到在身份验证请求期间访问生成的令牌的位置,我只有在请求最终授予时才看到它。只需要一个指南,"access_token"属性隐藏在。

比较Oauth令牌与先前保存的令牌

如果不知道您使用的是哪个库,我无法完全回答。如果它是IdentityServer3,我不知道有什么方法可以做到这一点,但出于几个原因,您不应该必须这样做。

  • 在用户通过身份验证之前,不应该颁发令牌。也许我遗漏了什么,但我想不出有什么情况需要在此时拒绝用户。
  • 每个令牌应该是唯一的,所以你不应该期望生成一个已经存在的令牌。

我还想指出,如果您使用的是自包含令牌,则不需要持久化它们,因为它们可以仅使用证书的公钥进行验证。

如果你能澄清你所说的额外安全是什么意思,我可能会想出一些更有用的东西,但希望这对你有帮助。