什么是使用与雷索urce所有者密码凭据的OAuth当正确的流量格兰特(What is the cor

2019-10-30 07:24发布

我期待建立一个客户到我的RESTful超媒体API和审查很多选项正在学习对OAuth的*成为授权访问API的实际方法之后。

我想我是理解整个OAuth的概念,即根据客户机(可信与否)的规范提供了以若干流从授权访问资源所有者(用户)的角度看“信任”的客户端(应用程序)客户。

监守我建立的应用程序是直接服务的生态系统就会掉下可信客户机部分,所以我已经决定实施资源所有者密码凭据格兰特的保护伞下的一部分,但这里是我的知识获取与浑条款的确切作用OAuth是有提供与我的大脑关闭:)

我想这就是流量(多用一些技术的想法):

  1. 通过登录形成资源拥有者提供他们的凭据
  2. 细节所构成的服务器(在这种情况下的express.js应用)
  3. 通过一些当地的机制,应用验证根据存储的用户凭据
  4. 如果用户不存在或无法确认,然后他们将返回到登录
  5. 如果用户确实存在,并且不通过验证的机制,以交换他们的凭据令牌启动(接触的OAuth服务器和交换的细节)的某处存储加密/散列的Infor(Redis的可能?)
  6. 一旦返回的标记它存储在也许对于持久化到客户端的会话(我认为trello.com做类似的事情,因为他们有一个标记饼干,但我可以很错在这里)

这是一个可以接受的流量? 我似乎无法找到任何的例子可以作为一个唯一的开发商目前将是很好的得到一些反馈。

Answer 1:

没有必要在最后确定自己的流动,这简直是我们交换的用户凭据的OAuth凭证受信任的客户资源所有者密码格兰特。



文章来源: What is the correct flow when using oAuth with the Reso​urce Owners Password​s Credentials Grant​