OAuth 2.0访问令牌有哪些内容？

RFC对访问令牌中的内容非常模糊：

令牌可以表示用于检索授权信息的标识符，或者以可验证的方式自我包含授权信息[ch.1.4，p.2]

公平的说，实现细节并不是RFC应该关注的东西。 在事物的宏伟计划中让我感到沮丧的是'资源'这个词。

访问令牌被客户端用来从资源服务器检索资源（对我来说，这意味着'单数'）。 这是否意味着访问令牌包含单个资源的ID以及为该资源授予的权限？ 例如，作为JWT有效载荷：

{
    "type"        : "image",
    "id"          : "42"
    "permissions" : "read,update"
}

如果是这样，那么授权服务器如何包含有关每个资源的信息，以及谁有权对每个资源执行什么操作，而不必紧密耦合到资源服务器？

如果不是，那么访问令牌包含什么？ 这是否意味着在资源服务器上还会进行一定程度的权限检查？

链接地址: http://www.djcxy.com/p/48037.html

上一篇: What goes in an OAuth 2.0 access token?

下一篇: eloqua Oauth 2.0 submit forms