我试图理解一个API的Oauth2。要考虑的第一个重要事项是客户端不使用oauth2直接对API进行身份验证。客户端使用公钥/私钥对进行身份验证,但客户端是最终用户的服务,然后可以使用oauth2进行身份验证。
我正在使用身份验证代码流,它在重定向uri中调用我的后端,然后创建一个包含代码,唯一ID和oauth2提供程序的临时表。所有这些都很好。
然后,想法是客户端向api发出请求以从oauth2详细信息创建用户,我需要将客户端的api密钥与该特定用户匹配。问题是,使用授权代码流,我不知道客户端本身上的任何令牌或唯一ID或代码。我在这里用错误的方法咆哮错误的树吗?
我是否应该要求具有隐式流的令牌,然后将所述令牌传递给使用该令牌发出请求的API并检索它需要的任何数据?
非常感谢
答案 0 :(得分:0)
授权服务器,即向客户端发出令牌的实体,可以包括数据数据中的client_id与令牌相关联,以便在令牌验证后资源服务器可以使用它。