为什么Swagger规范没有为OAuth2身份验证提供clientId?

时间:2016-06-23 11:06:39

标签: javascript oauth swagger oauth2

我正在开发一个应用程序,它提取其他应用程序的Swagger规范并为它们推断UI,并具有与API交互所需的所有功能。

现在,我在尝试实施OAuth2身份验证时遇到了问题。使用OAuth2,您始终需要一个已注册的cientId来获取访问令牌。问题是swagger规范并不要求在OAuth2安全定义中提供clientId。

这意味着clientId应该在用户想要访问的任何OAuth2服务器中为我自己的应用程序注册,并获取我的应用程序的数据,而不是我的用户的应用程序。当然,这不是我的应用程序应该工作的方式,因为它应该维护用户的应用程序标识。

我的问题是:

是否应将clientId添加到OAuth2定义中?

是否可以实现我的需要,而无需为我的用户想要访问的所有OAuth2服务器注册我的应用程序?

也许我错过了什么,任何帮助都会非常感激!

谢谢

1 个答案:

答案 0 :(得分:2)

我认为ClientID不会成为定义的一部分 - 它通常是提供给连接到服务的特定实现的凭据的一部分。因此,每个集成都是不同的“客户”,因此是不同的ClientID