OAuth过程:请求两次到服务器

时间:2017-09-29 22:43:56

标签: security oauth server oauth-2.0 client-server

enter image description here

我是OAuth的初学者,所以我的问题可能听起来很幼稚。我发现此图片online描述了OAuth的工作原理。

假设客户端之前已经授权,这意味着我们已经知道客户端获得了哪个授权。

因此,当客户第二次请求授权时,我不确定为什么我们从客户端请求授权并且返回受保护资源从服务器回到客户端?所以基本上我们跳过第2,3,4和5步,我们只保留第1步和第6步。

1 个答案:

答案 0 :(得分:2)

您在看什么是“授权代码资助”。这意味着您拥有一个身份验证服务,该服务能够将登录表单提供给用户,对其进行身份验证,然后颁发授权。然后通过另一个呼叫将此授权转换为访问令牌。

如果要进行应用程序级别身份验证,请使用客户端凭据授予

这意味着您有一个ClientID和ClientSecret,用于标识应用程序,而不是用户。您发出请求,然后返回可用于访问受保护资源的令牌。

这里有一个例子:Unicode

如果要使用用户凭据进行身份验证,则可以使用资源所有者密码凭据授予。

所以,这一切都取决于你在寻找什么。