Próbuję zaimplementować przepływ danych logowania właściciela zasobu i hasła ze specyfikacji OAuth 2. Mam problem ze zrozumieniem token_type
wartości, która jest odsyłana z prawidłową odpowiedzią. W specyfikacji wszystkie przykłady pokazują, "token_type":"example"
ale mówi, że tak powinno być
token_type WYMAGANE. Typ wydanego tokena zgodnie z opisem w punkcie 7.1 . W wartości nie jest rozróżniana wielkość liter.
Czy ktoś może mi to wyjaśnić?
Każdy może zdefiniować „token_type” jako rozszerzenie OAuth 2.0, ale obecnie typ tokenu „okaziciela” jest najpopularniejszym.
https://tools.ietf.org/html/rfc6750
Zasadniczo tego używa Facebook. Ich implementacja jest jednak nieco opóźniona w stosunku do najnowszej specyfikacji.
Jeśli chcesz być bezpieczniejszy niż Facebook (lub tak bezpieczny jak OAuth 1.0, który ma „podpis”), możesz użyć tokena typu „mac”.
Jednak będzie to trudne, ponieważ specyfikacja mac wciąż szybko się zmienia.
https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac-05
źródło
Informacje w nagłówku Mozilla MDN
Bearer Token (Token okaziciela) Token
zabezpieczający z właściwością, dzięki której każda strona będąca w posiadaniu tokena („na okaziciela”) może go używać w dowolny sposób, w jaki może to zrobić każda inna strona będąca w jego posiadaniu. Korzystanie z tokena na okaziciela nie wymaga od okaziciela udokumentowania posiadania materiału klucza kryptograficznego (dowód posiadania).
Token okaziciela lub token odświeżania jest tworzony przez serwer uwierzytelniania. Gdy użytkownik uwierzytelnia Twoją aplikację (klienta), serwer uwierzytelniania przechodzi następnie i generuje dla Twojego Token okaziciela (token odświeżania), którego możesz następnie użyć do uzyskania tokenu dostępu.
Token okaziciela jest zwykle jakąś tajemniczą wartością utworzoną przez serwer uwierzytelniania, nie jest on losowy, jest tworzony na podstawie użytkownika, który daje ci dostęp, i klienta, który uzyskuje dostęp do twojej aplikacji.
źródło