OAuth 2.0框架中的客户端注册分为机密型(confidential)和公开型(public)两类,取决于客户端能否保护其身份验证信息。客户端需要提供类型、重定向URI和其他授权服务器要求的信息。注册过程中,客户端认证包括客户端密码和其他认证方法,如HTTP Basic Authentication。对于未注册的客户端,其处理方式取决于特定的授权服务器实现。
参考:https://tools.ietf.org/html/rfc6749 第二章
前言
在前文提到的authorization code授权许可模式下,client在拿到authorization code后需要向authorization server申请access token。在此过程中,为了安全,authorization server需要验证client的身份,同时client当然需要提交身份验证所需的信息。因此,在整个流程的第一步是client先要向authorization server注册,并生成相关的身份验证信息,这个就是client registration的含义。
当然,并不是所有的client都必需进行client registration,如前文提到的implicit授权许可模式,authorization server在resource owner的许可下直接向client返回access token,不会对client的身份进行认证,自然也就不需要client registration。这种情况典型的场景是client就是运行浏览器中的一段javascript,很难定义这段代码的身份。
OAuth 2.0 没有规定client向authorization server注册的具体实现方式,可以自由的通过各种方式实现authorization server对client的信任。比如,一种方法是client主动向authorization server注册自己并提供必需信息,另一种方法是authorization server给client签发身份证书或者有可信第三方的证书,还有一种方法是authorization server能通过某种安全的发现机制找到client并授予它认证信息。总之方式可以多种多样,要视具体的authorization server的支持情况而定。
client registration过程中client方面应该提供如下几个信息:
- client type,在下
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
