我正在为我的Web应用程序开发一个API,它可以为我的用户提供原始JSON数据,以便他们按照自己的意愿使用。我正在使用Aputhility,它带有OAuth2实现。
我希望我的用户访问我的应用中的屏幕以获取其分配的凭据,然后使用它们来使用API。我是否需要为每个用户创建一个client_id,或者他们是否可以共享同一个客户端并使用不同的用户名/密码?
我也不确定哪种oauth授权类型最适用。因为没有涉及第三方,所以似乎是密码'授予类型可能就足够了;但我仍然需要提供' client_id'和' client_secret'在请求的标题中?
什么是提供凭据并在RESTful API上对用户进行身份验证的最佳方式,而这些用户只会自己使用它?
提前谢谢。
答案 0 :(得分:1)
您可以出于提及的原因使用“资源所有者密码凭据”授予。您的应用只需要一个client_id和client_secret来处理不同的用户/密码。
您可以将这些值(client_id,client_secret,username,password)作为请求的HTTP POST参数的一部分提供给令牌端点并返回您将在针对API的标头中使用的访问令牌。