আমি ওআউথ 2 এর উপরে আমার মাথা পাওয়ার চেষ্টা করছিলাম তবে আমি এখনও কিছু সম্পর্কে বিভ্রান্ত হয়েছি।
আমি বুঝতে পারি যে ক্লায়েন্ট OAuth সরবরাহকারীর সাথে অনুমোদন দেয় (উদাহরণস্বরূপ গুগল) এবং রিসোর্স সার্ভারকে ব্যবহারকারীর প্রোফাইল ডেটা অ্যাক্সেস করার অনুমতি দেয়। তারপরে ক্লায়েন্টটি অ্যাক্সেস টোকেনটি রিসোর্স সার্ভারে প্রেরণ করতে এবং রিসোর্সটি ফিরে দেওয়া যেতে পারে।
তবে যে কোনও ডকুমেন্টেশনে আচ্ছাদিত বলে মনে হয় না তা হ'ল ক্লায়েন্ট অ্যাপ্লিকেশন যদি রিসোর্স সার্ভারটিকে কোনও সংস্থানের জন্য জিজ্ঞাসা করে এবং অ্যাক্সেস টোকেনটি পাস করে। আমি এখন পর্যন্ত যা কিছু পড়েছি তা বলছে যে রিসোর্স সার্ভারটি কেবল অনুরোধ করা সংস্থার সাথে সাড়া দেয়।
তবে এটি একটি বিশাল গর্তের মতো বলে মনে হচ্ছে, অবশ্যই রিসোর্স সার্ভারটি অবশ্যই কোনওভাবে অ্যাক্সেস টোকেনকে বৈধতা দেবে, অন্যথায় আমি কেবল কোনও পুরানো অনুরোধ জাল করতে পারি এবং একটি পুরানো, চুরি, জাল, বা এলোমেলোভাবে উত্পন্ন টোকনটি পাস করতে পারি এবং এটি কেবল এটি গ্রহণ করবে।
OAuth2 এর ব্যাখ্যা অনুসরণ করার জন্য যে কেউ আমাকে সরলভাবে নির্দেশ করতে পারে কারণ এখন পর্যন্ত আমি যেগুলি পড়েছি তা অসম্পূর্ণ বোধ করে।