Saya mencoba menerapkan aliran Kredensial Pemilik & Kata Sandi Sumber Daya dari spec OAuth 2. Saya mengalami kesulitan memahami token_typenilai yang dikirim kembali dengan respons yang valid. Dalam spec semua contoh menunjukkan "token_type":"example"tetapi mengatakan itu seharusnya
token_type DIBUTUHKAN. Jenis token yang dikeluarkan seperti dijelaskan dalam Bagian 7.1 . Nilai tidak peka huruf besar-kecil.
Bisakah seseorang tolong jelaskan hal ini kepada saya?
Jawaban:
token_typeadalah parameter dalam Access Token menghasilkan panggilan ke server Otorisasi yang pada dasarnya menggambarkan bagaimana access_token akan dibuat dan disajikan untuk panggilan akses sumber daya. Anda memberikan token_type dalam panggilan pembuatan token akses ke server otorisasi.
Jika Anda memberi Bearer(Default pada sebagian besar implementasi), access_tokendihasilkan dan dikirim kembali kepada Anda. Pembawa dapat dipahami sebagai "memberikan akses ke pembawa token ini." Satu token yang valid dan tidak ada pertanyaan. Di sisi lain jika Anda memilih Macdan sign_type(default hmac-sha-1pada sebagian besar implementasi), token akses dihasilkan dan dirahasiakan di Key Manager sebagai atribut, dan rahasia yang dienkripsi dikirim kembali sebagaiaccess_token
Ya, Anda dapat menggunakan implementasi Anda sendiri token_type, tetapi itu mungkin tidak masuk akal karena pengembang perlu mengikuti proses Anda daripada implementasi standar OAuth.
Siapa pun dapat mendefinisikan "token_type" sebagai ekstensi OAuth 2.0, tetapi saat ini tipe "bearer" adalah yang paling umum.
https://tools.ietf.org/html/rfc6750
Pada dasarnya itulah yang digunakan Facebook. Implementasinya agak ketinggalan dari spec terbaru.
Jika Anda ingin lebih aman daripada Facebook (atau seaman OAuth 1.0 yang memiliki "tanda tangan"), Anda dapat menggunakan jenis token "mac".
Namun, ini akan sulit karena spesifikasi mac masih berubah dengan cepat.
Bearer Token Token
keamanan dengan properti yang dapat dimiliki pihak mana pun yang memiliki token ("pembawa") menggunakan token dengan cara apa pun yang dapat dilakukan oleh pihak lain yang memilikinya. Menggunakan token pembawa tidak memerlukan pembawa untuk membuktikan kepemilikan bahan kunci kriptografis (bukti kepemilikan).
Token Pembawa atau Segarkan token dibuat untuk Anda oleh server Otentikasi. Ketika pengguna mengotentikasi aplikasi Anda (klien) server otentikasi kemudian pergi dan menghasilkan untuk Token Pembawa Anda (token penyegaran) yang kemudian dapat Anda gunakan untuk mendapatkan token akses.
The Bearer Token biasanya semacam nilai samar yang dibuat oleh server otentikasi, itu bukan acak itu dibuat berdasarkan pada pengguna memberi Anda akses dan klien aplikasi Anda mendapatkan akses.