授權代碼流還是將oauth用戶與內部用戶匹配的隱式?
[英]Authorization Code Flow or Implicit to match a oauth user to an internal user?
問題描述
我正在嘗試為API設計Oauth2。 首先要考慮的重要事項是,客戶端不會使用oauth2直接向API進行身份驗證。 客戶端使用公鑰/私鑰對進行身份驗證,但是客戶端是針對最終用戶的服務,然后可以使用oauth2進行身份驗證。
我正在使用身份驗證代碼流,該流在重定向uri中調用我的后端,然后創建一個包含代碼,唯一ID和oauth2提供程序的臨時表。 所有這些都很好。
然后的想法是必須客戶端向api請求以從oauth2詳細信息創建用戶,我需要這樣做以將客戶端的api密鑰與該特定用戶進行匹配。 問題在於,使用授權代碼流,我對客戶端本身上的任何令牌,唯一ID或代碼一無所知。 我在這里用錯誤的方法吠叫錯誤的樹嗎?
我是否應該改為要求一個帶有隱式流的令牌,然后將所述令牌傳遞給使用該令牌發出請求並檢索所需數據的API?
非常感謝你
1 個解決方案
解決方案1
0 2016-04-01 06:42:19
授權服務器, client_id客戶端client_id令牌的實體,可以在數據數據中包含client_id與令牌相關聯,以便令牌驗證后資源服務器可以使用它。
當“隱式”流程運行良好時,為什么 OAuth2 中會有“授權代碼”流程?
[英]Why is there an "Authorization Code" flow in OAuth2 when "Implicit" flow works so well?
對於隱式流為 Oauth 2.0 的 web 應用程序,是否有避免不時詢問用戶登錄的解決方案?
[英]For a web app with Implicit Flow of Oauth 2.0, is there a solution avoiding asking user sign in from time to time?
在利用OAuth代碼流時,如何使用用戶定義的唯一標識符注冊新用戶?
[英]How can I register a new user with a user-defined unique identifier when leveraging OAuth code flow?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.