让我们说,我想开发一个rest api实现并使用OAuth 2.0和authorization_code grant。我将有应用程序,用户,access_tokens等。我只是无法想象只有一个场景。当用户允许应用程序使用它时,我的auth服务器会使用auth代码将其重定向到应用程序站点,然后应用程序将使用其client_id发布它以获取access_token。那么,我如何将此access_code链接到用户?最后,应用程序将要访问有关THE USER的某些资源,并将发布我的auth服务器创建的access_code来访问它。或者只是应用程序应该存储access_code和用户ID之间的链接(但它如何确定用户,这是另一个问题)。
答案 0 :(得分:0)
授权服务器必须提供服务以提供资源服务器用户信息,但使用access_token,以便资源服务器可以获取用户ID和其他信息以使用它,例如它使用登录FB或谷歌,它提供第三方的用户信息想要验证此用户。