我现在已经阅读了很多有关oauth 2.0及其用例(流程)的信息。
现在我有了这两种情况:
用户登录我们的客户端并使用他的id和pw,客户端正在进行api调用。
没有用户数据的外国系统想要访问服务器web api。
如果我没有错,我会建议使用2.“客户资格流程” 对于1.我会使用“隐式授权授权流程”。
我从http://tutorials.jenkov.com/oauth2/authorization.html
获得有关所选流量的信息我对这个决定是对的,还是有一个更好的选择,我没见过?
答案 0 :(得分:1)
是的,
通常,当客户端(无论是您自己的Web客户端还是第三方客户端)想要访问用户的数据时,他们必须通过使用任何一个流程在授权期间获取的访问令牌( authorization_code或隐含的)
当第三方系统想要访问非用户相关或最不敏感的数据时,您只需要一些方法来识别哪个客户端发出请求,它对验证,速率限制等有用。
因此,客户端凭证流程适用于您的情况。