【发布时间】:2020-08-03 07:34:00
【问题描述】:
我正在考虑使用 OAuth 授予应用程序对用户资源的访问权限。在封闭的公司环境中一切正常。
我想到的第一个流程是授权码流程,一切看起来都是我需要的,但我不想要求用户授权访问,因为它是公司内部的应用程序和帐户,用户没有理由不授予它。我想向用户询问登录名和密码,使用授权码返回应用程序,并使用此授权码、客户端 ID 和客户端密码请求资源的访问令牌。 OAuth 中是否有类似的描述?或者删除我要求用户授权的步骤正在破坏 OAuth,这将是我的实现看起来就像 OAuth?
我知道有客户端凭据流,但我必须授予应用程序对每个用户资源的访问权限吗?还是我遗漏了什么?
【问题讨论】:
标签: authentication oauth oauth-2.0 authorization