我有一个Java Web应用程序。它依靠Google OAuth对用户进行身份验证和授权。我想为我的应用程序提供一个API,它也必须使用OAuth。是否有可能在没有用户和auth机制数据库的情况下自己提供OAuth? 是否已由任何人实施?
答案 0 :(得分:3)
OAuth规范没有做任何关于如何验证(即登录)用户的特定声明 - 一旦身份验证成功,就会如何将凭据传递给其他服务器。没有特别的原因,在其他服务器可能会设置登录框的步骤中,您无法使用其他不相关的服务器启动OAuth事务。
但是,您需要使用某种数据库来链接您发出的凭据(即客户将用于运行API的凭据)与从上游服务器收到的凭据 - 无论此数据是否需要保留在服务器关闭等等,将取决于您是否希望您的第三方客户端能够长期使用其凭据。