我对Oauth2来说还是比较新的,似乎我被卡住了。
为了保护我们的API,我们使用OAuth2。我们有很多调用包含基于帐户的信息,我们在OAuth中使用password
授权。
但是,我还必须保护我的注册调用,因此只有具有有效client_id和client_secret的已注册应用程序才能使用该调用。所以,经过一段时间的阅读,似乎我需要为这些电话使用client_credentials
授权。
但是现在,我完全不知道如何定义使用password
client_credentials
的{{1}}的电话。
我是否认为错误,是否无法为特定电话使用特定的拨款,或者如何定义何时使用什么拨款?
仅供参考:我使用的是Laravel5.1和Luca Degasperi's Laravel OAuth2 server
谢谢!
答案 0 :(得分:1)
通常您不会限制对特定授权类型的呼叫或路由,对于several reasons,几乎不可能通过oauth授权限制客户端应用程序访问。
因此,根据经验,您应该只公开允许用户访问doesen的端点,而不管使用哪个客户端。
更多我希望客户端凭据或所有者凭据授予,它在可用性和安全性方面更胜一筹(更改密码,删除特定用户的访问权限)应用,...)有关不同grants的更多信息。