我期待建立一个客户到我的RESTful超媒体API和审查很多选项正在学习对OAuth的*成为授权访问API的实际方法之后。
我想我是理解整个OAuth的概念,即根据客户机(可信与否)的规范提供了以若干流从授权访问资源所有者(用户)的角度看“信任”的客户端(应用程序)客户。
监守我建立的应用程序是直接服务的生态系统就会掉下可信客户机部分,所以我已经决定实施资源所有者密码凭据格兰特的保护伞下的一部分,但这里是我的知识获取与浑条款的确切作用OAuth是有提供与我的大脑关闭:)
我想这就是流量(多用一些技术的想法):
- 通过登录形成资源拥有者提供他们的凭据
- 细节所构成的服务器(在这种情况下的express.js应用)
- 通过一些当地的机制,应用验证根据存储的用户凭据
- 如果用户不存在或无法确认,然后他们将返回到登录
- 如果用户确实存在,并且不通过验证的机制,以交换他们的凭据令牌启动(接触的OAuth服务器和交换的细节)的某处存储加密/散列的Infor(Redis的可能?)
- 一旦返回的标记它存储在也许对于持久化到客户端的会话(我认为trello.com做类似的事情,因为他们有一个标记饼干,但我可以很错在这里)
这是一个可以接受的流量? 我似乎无法找到任何的例子可以作为一个唯一的开发商目前将是很好的得到一些反馈。