资源服务器如何验证oauth2token

1. OAuth2.0的认证授权过程

在认证和授权的过程中涉及的三方包括：
1、服务提供方，用户使用服务提供方来存储受保护的资源，如照片，视频，联系人列表。
2、用户，存放在服务提供方的受保护的资源的拥有者。
3、客户端，要访问服务提供方资源的第三方应用，通常是网站，如提供照片打印服务的网站。在认证过程之前，客户端要向服务提供者申请客户端标识。
使用OAuth进行认证和授权的过程如下所示:
用户想操作存放在服务提供方的资源。
用户登录客户端向服务提供方请求一个临时令牌。
服务提供方验证客户端的身份后，授予一个临时令牌。
客户端获得临时令牌后，将用户引导至服务提供方的授权页面请求用户授权。在这个过程中将临时令牌和客户端的回调连接发送给服务提供方。
用户在服务提供方的网页上输入用户名和密码，然后授权该客户端访问所请求的资源。
授权成功后，服务提供方引导用户返回客户端的网页。
客户端根据临时令牌从服务提供方那里获取访问令牌。
服务提供方根据临时令牌和用户的授权情况授予客户端访问令牌。
客户端使用获取的访问令牌访问存放在服务提供方上的受保护的资源。 OAuth 1.0在2007年的12月底发布并迅速成为工业标准。
2008年6月，发布了OAuth 1.0 Revision A，这是个稍作修改的修订版本，主要修正一个安全方面的漏洞。
2010年四月，OAuth 1.0的终于在IETF发布了，协议编号RFC 5849。
OAuth 2.0的草案是在2011年5月初在IETF发布的。
OAuth is a security protocol that enables users to grant third-party access to their web resources without sharing their passwords.
OAuth是个安全相关的协议，作用在于，使用户授权第三方的应用程序访问用户的web资源，并且不需要向第三方应用程序透露自己的密码。
OAuth 2.0是个全新的协议，并且不对之前的版本做向后兼容，然而，OAuth 2.0保留了与之前版本OAuth相同的整体架构。
这个草案是围绕着 OAuth2.0的需求和目标，历经了长达一年的讨论，讨论的参与者来自业界的各个知名公司，包括Yahoo!, Facebook, Salesforce, Microsoft, Twitter, Deutsche Telekom, Intuit, Mozilla, and Google。
OAuth 2.0的新特性： User-Agent Flow – 客户端运行于用户代理内（典型如web浏览器）。
Web Server Flow – 客户端是web服务器程序的一部分，通过http request接入，这是OAuth 1.0提供的流程的简化版本。
Device Flow – 适用于客户端在受限设备上执行操作，但是终端用户单独接入另一台电脑或者设备的浏览器
Username and Password Flow – 这个流程的应用场景是，用户信任客户端处理身份凭据，但是仍然不希望客户端储存他们的用户名和密码，这个流程仅在用户高度信任客户端时才适用。
Client Credentials Flow – 客户端适用它的身份凭据去获取access token，这个流程支持2-legged OAuth的场景。
Assertion Flow – 客户端用assertion去换取access token，比如SAML assertion。
可以通过使用以上的多种流程实现Native应用程序对OAuth的支持（程序运行于桌面操作系统或移动设备）
application support (applications running on a desktop or mobile device) can be implemented using many of the flows above.
持信人token
OAuth 2.0 提供一种无需加密的认证方式，此方式是基于现存的cookie验证架构，token本身将自己作为secret，通过HTTPS发送，从而替换了通过 HMAC和token secret加密并发送的方式，这将允许使用cURL发起APIcall和其他简单的脚本工具而不需遵循原先的request方式并进行签名。
签名简化：
对于签名的支持，签名机制大大简化，不需要特殊的解析处理，编码，和对参数进行排序。使用一个secret替代原先的两个secret。
短期token和长效的身份凭据
原先的OAuth，会发行一个 有效期非常长的token(典型的是一年有效期或者无有效期限制)，在OAuth 2.0中，server将发行一个短有效期的access token和长生命期的refresh token。这将允许客户端无需用户再次操作而获取一个新的access token，并且也限制了access token的有效期。
角色分开
OAuth 2.0将分为两个角色：
Authorization server负责获取用户的授权并且发布token。
Resource负责处理API calls。

2. javascript怎么实现oauth2授权怎么获取到accessToken

数据库保存你最后获取到的access_token就可以了，当然，现在由于有refresh_token的存在，你还必须保存下refresh_token和过期时间，以用于更新access_token
至于access_token如何使用，其实就是相当于一个key你直接使用就可以了，你可以看这里
比如你说的获取用户信息，可以用这个接口获取到，其中只要你传递access_token就可以获取到与这个access_token匹配的用户的信息了。

3. oauth2认证后返回#怎么获取accesstoken

数据库保存你最后获取到的access_token就可以了，当然，现在由于有refresh_token的存在，你还必须保存下refresh_token和过期时间，以用于更新access_token

4. 如何验证 oauth 2.0 token是否有效

这个不知道的啊

5. spring security oauth2 搭建资源服务器，如何配置受保护资源，我想配置order路径为保护资源，不起作用

我做了一个demo，你可以看下，有不懂的再问吧，

网页链接

6. oauth2.0开发

spring security oauth

7. 什么是token验证

Token是在客户端频繁向服务端请求数据，服务端频繁的去数据库查询用户名和密码并进行对比，判断用户名和密码正确与否，并作出相应提示，在这样的背景下，Token便应运而生。Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

(7)资源服务器如何验证oauth2token扩展阅读：

token其实说的更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作。例如在USB1.1协议中定义了4类数据包：token包、data包、handshake包和special包。主机和USB设备之间连续数据的交换可以分为三个阶段，第一个阶段由主机发送token包，不同的token包内容不一样（暗号不一样）可以告诉设备做不同的工作，第二个阶段发送data包，第三个阶段由设备返回一个handshake包。

8. 移动App如何与服务器端进行身份认证

OAuth2一般不适用公司内部API调用，因为它的主要目的是解决资源授权的问题，而且OAuth2里面角色对于C/S结构的app来说太过于繁杂了，不太有必要折腾。
移动app比较简单的方法还是使用token（一种类似与httpcookie的东西），登录之后得到token，任何请求都必须带上它。因为是内部账户体系，登录也可以直接使用用户名密码，验证成功服务器就返回token，没有必要做各种code/token交换的事情。
不过如果公司资源变得非常独立和分离了，OAuth2还是很有价值的。部门公司，为了让公司内部统一用户名密码，就实现了一个基本的OAuth2流程，负责给各种内网网站授权，确实比较方便。

9. 服务端如何校验token的是否正确

服务端第一次返回登录请求token的时候,服务端是校验了用户,并绑定了用户关系,之后才返回了这个token,也就说,服务端保存了token和登录用户账户的对应关系,不管之后的token怎么变,都是服务器校验上一次的token,并返回新的token,token和用户账户的对应关系一直在服务端更新并维护,对于客户端来讲,无需判断token是谁,服务器下发什么,就返回什么,检验是服务端处理

10. owin oauth2.0 怎样验证token是否有效

这些都是发生在服务器端的交互，如果被窃取了可想你的服务器已经不安全了，不过也没有关系，一个加密的openid对谁来说都没有意义。