【发布时间】:2016-07-20 15:37:03
【问题描述】:
我正在尝试为 API 理解 Oauth2。首先要考虑的是客户端不使用 oauth2 直接向 API 进行身份验证。客户端使用公钥/私钥对进行身份验证,但客户端是最终用户的服务,然后可以使用 oauth2 进行身份验证。
我正在使用身份验证代码流,它在重定向 uri 中调用我的后端,然后创建一个包含代码、唯一 ID 和 oauth2 提供程序的临时表。所有这些都可以正常工作。
然后的想法是让客户端向 api 发出请求以从 oauth2 详细信息创建用户,我需要它来将客户端的 api 密钥与该特定用户匹配。问题是,对于授权代码流,我对客户端本身的任何令牌或唯一 ID 或代码一无所知。我是不是在这里找错了树并使用了错误的方法?
我是否应该改为需要一个具有隐式流的令牌,然后将所述令牌传递给 API,该 API 使用该令牌发出请求并检索它需要的任何数据?
非常感谢
【问题讨论】:
标签: authentication oauth oauth-2.0