自己的移动客户端的 OAuth 2.0 身份验证

Question

我正在使用 node.js 开发一个应用程序，该应用程序也将具有一个移动客户端。我希望使用 OAuth 2.0 进行身份验证。有什么好的模块可以让我拥有 OAuth 2.0 身份验证服务器吗？

我查看了 Passport 的一个子模块“OAuth2orize”。我发现它已经足够好了，但真正的问题是理解它将如何适用于我自己的应用程序（示例和文档指定了第三方授权）。

基本上我想要的是客户端使用客户端 ID、用户名、用户密码登录，然后我在验证上述 3 件事后交给他一个令牌。但是 Oauth2orize 的问题在于有重定向 URI，这让我很困惑。

请帮助我了解如何使用 Oauth2rize 或任何其他非常好的模块来实现这一点。或者，如果它足够简单，我也可以自己推出，但这对安全性来说是个好主意吗？？

Answer 1

您正在寻找的是Resource Owner Password Credentials 流。如您所见，oauth2 的示例不包含支持此流程的功能。实际上，这些示例仅涵盖Authorization Code 流。

它最终应该很容易实现。您需要做的就是接受包含您正在查找的信息的请求（并对其进行授权），并在您的令牌数据库中创建一个令牌并返回它。只要您使用 oauth2orize 的其余部分正在使用的相同令牌数据库，它就可以正常工作。请参阅：Passing Trusted Client Information with oAuth2orize for the "Resource Owner Password Flow" 这正是建议的内容。

更正： oauth2orize 的全授权示例支持隐式流和授权码流。