假设我已定义了Web服务API,并且希望实现OAuth服务器以提供对第三方移动应用程序和我自己的移动应用程序的访问。
由于这两种类型的应用程序(内部/外部)将尝试访问我的API,我的身份验证服务器可以区分它们的可能机制是什么?
作为一个例子,考虑一个Facebook应用程序和Lyft(外部)。虽然通过Lyft登录Facebook,fb将其识别为第三方应用程序并要求许可级别,但在Facebook(内部)应用程序中,他们不会要求许可水平。他们是怎么做到的?
*如果我错了,请纠正我。
答案 0 :(得分:1)
OAuth 2.0通过以标识符和共享密钥的形式向客户端/应用程序授予他们自己的一组客户端凭据来区分客户端/应用程序,分别名为client_id和client_secret。