나는 OAuth2에 대해 많은 것을 읽었으며 그 주위에 내 머리를 갖기 위해 노력하고 있지만 여전히 혼란 스럽습니다.
고객이 OAuth 제공 업체 (예 : Google)를 승인하고 리소스 서버가 사용자의 프로필 데이터에 액세스 할 수 있음을 이해합니다. 그러면 클라이언트는 액세스 토큰을 리소스 서버로 보내고 리소스를 다시받을 수 있습니다.
그러나 설명서에서 다루지 않은 것은 클라이언트 응용 프로그램이 리소스 서버에 리소스를 요청하고 액세스 토큰을 전달할 때 발생하는 것입니다. 지금까지 읽은 모든 내용은 리소스 서버가 요청 된 리소스로 응답한다고 말합니다.
그러나 그것은 거대한 구멍처럼 보입니다. 물론 리소스 서버는 어떻게 든 액세스 토큰의 유효성을 검사해야합니다. 그렇지 않으면 이전 요청을 위조하고 이전, 도난, 위조 또는 임의로 생성 된 토큰을 전달할 수 있습니다.
내가 읽은 것은 불완전하다고 느끼기 때문에 누구나 OAuth2에 대한 설명을 간단하게 지적 할 수 있습니까?