我对你专业称之为“OAuth 2.0”身份验证系统的内容感到有些困惑......
我已经构建了一个MVC RESTful API接口,它将用户名和密码值存储在SQL Server中作为其模型。
因此,每当用户通过访问POST:http://example.com/api/login登录我的服务时,该URL只返回一个JSON,其中包含属于您登录的用户的访问令牌。
一旦您拥有了您已登录的特定用户名的访问令牌,您就可以执行需要用户权限的操作,例如:
POST:http://example.com/api/createRecord
那么,您是否可以从头开始构建OAuth 2.0,或者除了访问令牌的概念之外,OAuth还有更多内容吗?
答案 0 :(得分:0)
在您的示例中,客户端应用程序通过向/ api / login显示用户的凭据(ID和密码)来获取访问令牌。另一方面,OAuth 2.0是一个框架,其中服务的用户可以允许第三方客户端应用程序访问他/她在服务中托管的数据,而不会泄露他/她的凭据(ID和密码)应用程序。除非您的服务用户将他/她的凭据传递给应用程序,否则当前的服务实现无法允许第三方客户端应用程序访问您的服务。
理解上述观点并阅读RFC 6749,您会发现OAuth 2.0是您需要实施的规范。