我正在实施一个oauth 2设置并且有一个用例,我不太确定它是如何应用于oauth 2.希望有人在这里可以让我走上正轨。
我的平台包含一个我想通过移动应用访问的API。当我控制app和api并且还拥有拥有数据的用户时,我认为资源所有者密码凭证授予资金很适合。 但是在应用程序上我希望用户现在只能通过Facebook登录。当我从facebook收到uid和访问令牌时,我会创建一个新用户或更新我的api中的当前用户。在此过程中不会设置密码,并且由于密码授权需要用户名和密码来获取访问令牌,因此我的问题变得明显。
那么,这个用例的好习惯是什么?我应该为用户创建密码,还是将facebook令牌作为在api中验证的有效密码凭证发送?或者可能更适合不同的授权类型?
感谢任何反馈!
谢谢!