owin oauth如何拒绝持有client credential的token访问用户有关的api
2016-02-23 来自:月亮哪里有冬天 0 人回应

@dudu在这篇博文中(http://www.cnblogs.com/dudu/p/4578511.html)提到有关如何处理这种情况,但是没有时候服务端如何处理这种情况。

比如有一个api是用户有关的保护,当客户端持有client credentials的token来访问的时候,服务端是如何处理的(如何拒绝这个请求的)

在Web API中验证的只是Access Token。
以Resource Owner Password Credentials Grant的方式(grant_type=password)获取的Access Token,不管是受保护的还是与用户相关的API,都可以使用。
以Client Credentials Grant的方式(grant_type= client_credentials)获取的Access Token,只能用于受保护但与用户无关的API。
对于客户端来说,只需持有1个Acess Token即可。

还没有人回应!

您的回应

你还未登陆,不能回应!登陆