有没有办法从API用户那里收集有用的客户端特定信息,而不使用带有关于客户端的存储数据的access_token?
我的用例:
我在我的应用程序上实现了OAuth2.0资源所有者密码凭据流(没有refresh_tokens)。对于使用access_token的每个请求,我不希望服务器检查数据库的access_token有效性,以使数据库调用保持最小。
我使用HMAC sha256签名/加密的自包含access_token(类似于JWT规范)。此方法允许我检查access_token是否未被篡改并在不调用数据库的情况下检查令牌是否已过期。
在access_token中,我存储了有关客户端的信息,使我能够“跟踪”使用API的人。
示例(这是在access_token内编码/ HMAC加密):
{user_id: "myusername",
device: "iphone"
}