oAuth 2令牌中的内容

Question

我不是程序员（更像是脚本编写者），但想知道有人在我学习oAuth2时是否可以为我清除以下内容

如果您有单独的身份验证服务器（例如google，facebook等）和单独的资源服务器（完全是其他网站）

当“客户端应用程序”向资源服务器提供“访问令牌”时（用于访问用户数据）。资源服务器如何知道它可以信任访问令牌？

换句话说，访问令牌x509是否已签名并转换为base64或类似名称，因此，当资源服务器接收到令牌时，它可以转换回json / xml或采用什么格式，然后检查签名？

如果这样将要求资源服务器在显示访问令牌之前信任身份验证服务器

如果有人可以帮我解决这个问题，我将不胜感激

谢谢

__ CAshtones

Answer 1

在这种情况下，使用授权码代替访问令牌。

这是在XYZ网站上单击Facebook登录时发生的。

1. XYZ网站与XYZclientID一起重定向到Facebook登录页面（XYZ应该已经在Facebook下注册为开发者）
2. Facebook标识XYZ（使用XYZclientID）想要对ABC人进行身份验证
3. ABC人员登录到Facebook。
4. Facebook发行授权码（用于ABC + XYZ组合）并重定向回XYZ网站。
5. XYZ使用此授权码+ XYZclientID + XYZclientSecret获取承载令牌
6. Facebook验证机密并颁发不记名令牌（链接到ABC人）
7. XYZ使用此承载令牌来检索ABC人员的详细信息。 （不能用于获取DEG人员的数据）
8. Facebook将ABC的电子邮件和其他个人详细信息提供给XYZ，而XYZ显示ABC已登录。

更多详细信息在这里： https://www.scienceabc.com/innovation/oauth-how-does-login-with-facebook-google-work.html