据我所知,oauth2用于允许第三方访问用户的资源。
我正在寻找以下案例的最佳做法或建议:
这意味着,oauth2实现可能过于繁重,因为用户正在使用我们自己的客户端。
但是当以抽象的方式看待这个时,我们可以使用oauth2,让用户允许我们自己的应用访问。换句话说:资源所有者(用户)将允许资源服务器(我们自己的服务器)向客户端提供数据(在这种情况下是我们自己的用户用于授权的应用程序)。
鉴于我们可能希望稍后向“真正的”第三方提供令牌,您是否会立即实施oauth2或者您是否会提出其他建议(而不是使用oauth2)?
感谢您的见解和意见。
答案 0 :(得分:0)
嗯......这是一个权衡:建立能够满足你今天所需要的东西,为未来做好准备。
我建议不要从头开始构建所有身份基础结构。根据您正在使用的平台,您可以使用几个选项。 Authorization Server就是一个。它是开源的(在.NET上)。还有其他商业产品。