我有一台服务器和一个移动应用程序。服务器提供RESTful API,移动应用程序使用此API。我想使用OAuth 2.0,以便只有授权用户才能获得响应,换句话说,当用户登录时,移动应用会获得访问令牌,以便它可以使用此令牌进行API调用。
通常情况下,OAuth用于资源所有者(如我),资源服务器(如Facebook)和客户端(某些第三方应用程序)存在的场景中。就我而言,只有服务器和移动应用程序。如果需要获取访问令牌,我想使用我的用户的用户名和密码。我的问题如下:
答案 0 :(得分:1)
我不确定我的服务器和我的应用程序对应的角色是什么?
根据https://tools.ietf.org/html/rfc6749#section-1.1,您的移动应用程序是客户端,托管RESTful API的服务器是资源服务器。
感兴趣我应该实施哪种流程(和/或授权授权)?
...
正如@rsa指出的那样,您还需要推出自己的授权服务器。
答案 1 :(得分:1)
移动应用程序是客户端,API服务器是资源服务器。由于我拥有这两个实体,我正在寻找的授权类型是2-legged"资源所有者密码凭证"。我正在使用this库进行一些小修改以使其适合我的数据库。谢谢你的帮助。