我们正在实施通用REST客户端,我们希望支持O'Auth 2.0。目前我们正在考虑允许用户在配置客户端时定义访问令牌(无论他们从何处购买),REST客户端在发出请求时将使用该客户端。
有可能吗?我有几个问题
- 客户端从授权服务器获取访问令牌的标准是什么?
- 客户端在请求access_token时是否已向auth服务器注册,并且其他客户端无法使用相同的访问令牌?
- 是SSL还是TSL?
- 客户端向资源服务器发送访问令牌(同时使资源需求)成为标准,所有资源提供者(facebook,linkedin,salesforce,google)是否支持在HTTP标头或Query参数中发送access_token。
- 将访问令牌发送到标准化的资源服务器,即我们无需为此加密或使用任何第三方库。