¿Cómo validar un token de acceso OAuth 2.0 para un servidor de recursos?
147
Cuando un cliente le pide a un servidor de recursos que obtenga un recurso protegido con un token de acceso OAuth 2.0, ¿cómo valida este servidor el token? ¿El protocolo de token de actualización OAuth 2.0?
Se supone que el servidor puede validar el token que se ha emitido previamente ... Por lo general, se trata de una búsqueda en la base de datos o criptografía (tokens autofirmados).
Thilo
Veo. ¿Qué tal este caso, el propietario del recurso WS y el cliente WS están en dispositivos diferentes?
Ack
55
¿Te refieres al servicio de autenticación y al servicio de recursos? (el cliente / consumidor siempre estará en un dispositivo diferente y no puede validar los tokens él mismo). Si ese es el caso, puede usar tokens de actualización que son "caros" para verificar (solo el servidor de autenticación puede hacerlo) pero de larga duración y tokens de acceso que caducan con frecuencia y se pueden verificar sin conexión.
Actualización de noviembre de 2015: según Hans Z. a continuación, esto ahora se define como parte de RFC 7662 .
Respuesta original: La especificación OAuth 2.0 ( RFC 6749 ) no define claramente la interacción entre un servidor de recursos (RS) y un servidor de autorización (AS) para la validación de token de acceso (AT). Realmente depende del formato / estrategia del token del AS: algunos tokens son autónomos (como JSON Web Tokens ), mientras que otros pueden ser similares a una cookie de sesión en el sentido de que solo hacen referencia a la información contenida en el servidor en el AS.
Scott T, ¿Hay alguna forma de ver un ejemplo de código sobre cómo utilizar la función en Ping Federate?
JavaHead
2
@JavaHead hay más detalles de protocolo cubiertos en nuestro sitio web para desarrolladores aquí: developer.pingidentity.com/en/resources/… , PingFederate OAuth Playground se envía como un conjunto de JSP que puede ser referenciado como código fuente para validar tokens. Se puede descargar (y otras bibliotecas y ejemplos de código abierto) desde aquí: developer.pingidentity.com/en/code.html
Scott T.
Scott, estoy buscando una muestra que demuestre la concesión de credenciales de cliente con API de descanso protegida por un servidor de recursos local y PingFederate como el servidor de autenticación. El servidor de recursos local llamará al punto final de validación. ¿Te has encontrado con algo así?
JavaHead
@JavaHead nuevamente, eso es algo para lo que deberías poder hacer referencia en el PingFederate OAuth Playground. Demuestra el tipo de concesión de credenciales del cliente y la validación de un token de acceso por parte de un servidor de recursos.
Scott T.
En el caso de un token de acceso JWT, supongo que normalmente no querría alcanzar el punto final de introspección AS para cada solicitud entrante al RS. En cuyo caso, ¿es suficiente una verificación RS de la firma y el alcance del token? ¿O tal vez el RS podría almacenar en caché las respuestas de introspección del AS por un período de tiempo?
@gustavodiazjaimes No explica en absoluto cómo el lado del servidor reconoce la identificación de usuario asignada de un token.
user2284570
22
No entiendo todos los votos. Esto no parece responder la pregunta.
Duncan Jones
¿Alguien sabe si Azure Active Directory tiene un punto final similar para verificar si un token emitido es válido?
user180940
2
En otras palabras, rueda el tuyo.
AndroidDev
51
Una actualización sobre la respuesta de @Scott T.: la interfaz entre el Servidor de recursos y el Servidor de autorización para la validación de tokens se estandarizó en IETF RFC 7662 en octubre de 2015, consulte: https://tools.ietf.org/html/rfc7662 . Una llamada de validación de muestra se vería así:
Si usa OoenId Connect, ¿no deberíamos preferir la forma abierta de usar el token de identificación para validar el token de acceso: openid.net/specs/…?
Adnan Kamili
1
@Renan: para estar en línea con la forma en que se solicitan los ámbitos en una solicitud de autorización, que es con un scopeparámetro de consulta cuyo valor contiene una lista de ámbitos separados por espacios
Hans Z.
44
No utilice la palabra "estandarizado" cuando algo no haya sido oficialmente aceptado por un órgano rector. El IETF RFC 7662 a partir de febrero de 2018 indica claramente que es una "propuesta".
AndroidDev
1
@adnankamili No hay tal cosa como una "propuesta". Cuando un documento se convierte en un RFC, ya es un "estándar propuesto" que tiene un peso significativo detrás de él. OAuth 2.0 en sí mismo sigue siendo un "estándar propuesto", por lo que no estoy seguro de qué punto está tratando de hacer.
Pace
15
La especificación OAuth 2.0 no define la parte. Pero podría haber un par de opciones:
Cuando el servidor de recursos obtiene el token en el encabezado Authz, llama a la API de validación / introspección en el servidor Authz para validar el token. Aquí el servidor Authz podría validarlo ya sea usando DB Store o verificando la firma y ciertos atributos. Como parte de la respuesta, decodifica el token y envía los datos reales del token junto con el tiempo de vencimiento restante.
Authz Server puede encriptar / firmar el token usando una clave privada y luego publickey / cert puede ser entregado a Resource Server. Cuando el servidor de recursos obtiene el token, descifra / verifica la firma para verificar el token. Saca el contenido y procesa el token. Luego puede proporcionar acceso o rechazar.
Los atributos de token de acceso y los métodos utilizados para acceder a los recursos protegidos están más allá del alcance de esta especificación y están definidos por especificaciones complementarias.
Mi servidor de autorización tiene un punto final de servicio web (SOAP) que permite al servidor de recursos saber si access_token es válido.
Respuestas:
Actualización de noviembre de 2015: según Hans Z. a continuación, esto ahora se define como parte de RFC 7662 .
Respuesta original: La especificación OAuth 2.0 ( RFC 6749 ) no define claramente la interacción entre un servidor de recursos (RS) y un servidor de autorización (AS) para la validación de token de acceso (AT). Realmente depende del formato / estrategia del token del AS: algunos tokens son autónomos (como JSON Web Tokens ), mientras que otros pueden ser similares a una cookie de sesión en el sentido de que solo hacen referencia a la información contenida en el servidor en el AS.
Se ha debatido en el Grupo de trabajo de OAuth sobre la creación de una forma estándar para que un RS se comunique con el AS para la validación de AT. Mi empresa (Ping Identity) ha ideado uno de estos enfoques para nuestro OAuth AS (PingFederate) comercial: https://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=lzn1564003025072.html#lzn1564003025072__section_N1057_N100_2572_N1_57.N1_25772_N1_1_57_100_2_257_N1_A_100_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_A_ " _ " ." Utiliza una interacción basada en REST para esto que es muy complementaria a OAuth 2.0.
fuente
Manera de Google
Validación de tokens de Google Oauth2
Solicitud:
Responder:
Manera de Microsoft
Microsoft - Oauth2 verifica una autorización
Manera Github
Github - Oauth2 verifica una autorización
Solicitud:
Responder:
Manera amazónica
Iniciar sesión con Amazon - Guía para desarrolladores (diciembre de 2015, página 21)
Solicitud :
Respuesta:
fuente
Una actualización sobre la respuesta de @Scott T.: la interfaz entre el Servidor de recursos y el Servidor de autorización para la validación de tokens se estandarizó en IETF RFC 7662 en octubre de 2015, consulte: https://tools.ietf.org/html/rfc7662 . Una llamada de validación de muestra se vería así:
y una respuesta de muestra:
Por supuesto, la adopción por parte de vendedores y productos tendrá que suceder con el tiempo.
fuente
scope
parámetro de consulta cuyo valor contiene una lista de ámbitos separados por espaciosLa especificación OAuth 2.0 no define la parte. Pero podría haber un par de opciones:
Cuando el servidor de recursos obtiene el token en el encabezado Authz, llama a la API de validación / introspección en el servidor Authz para validar el token. Aquí el servidor Authz podría validarlo ya sea usando DB Store o verificando la firma y ciertos atributos. Como parte de la respuesta, decodifica el token y envía los datos reales del token junto con el tiempo de vencimiento restante.
Authz Server puede encriptar / firmar el token usando una clave privada y luego publickey / cert puede ser entregado a Resource Server. Cuando el servidor de recursos obtiene el token, descifra / verifica la firma para verificar el token. Saca el contenido y procesa el token. Luego puede proporcionar acceso o rechazar.
fuente
Las especificaciones de OAuth v2 indican:
Mi servidor de autorización tiene un punto final de servicio web (SOAP) que permite al servidor de recursos saber si access_token es válido.
fuente