我一直在研究如何使用API对移动应用进行身份验证 - 我仍然不确定哪种流量和流量在我的特定用例中使用架构会更好。
我认为令我困惑的是使用的一些术语。
我的用例:
我希望能够使用用户名和密码对API进行身份验证。密码。
除了网络应用和移动应用之外,其他第三方服务永远不会开放API。
最初我觉得使用资源所有者密码凭据授权流程就足够了。但是在文档中它声明如果"客户端绝对信任用户凭证,那么应该使用此流程。#/ p>
既然我的手机和网络应用程序将由我构建,我假设他们被视为第一方客户。因此,我认为他们被认为是用户凭证信任吗?正如我通常认为的那样,在实现oAuth时,我们的想法是将身份验证服务器与资源服务器分开。这将允许您为多个API提供一个身份验证服务器。
阅读此帖后:Why the Password Grant is not suitable for modern applications
它让我偏离了轨道。但是,这篇文章是否在讨论在我的用例中使用这个流程?
我也在查看Implicit Grant Tokens流程。但是,使用此流程,我无法真正看到用户首先如何输入凭据?
我还质疑我的用例是否真的需要任何oAuth流,我应该考虑其他的身份验证方式?
我真的很失落,我希望在我的特定情况下如何验证用户的方向。
提前致谢!
修改
从以下oauth article开始,我发现在我的应用的所有用例中,我都会在密码凭据授权流程中结束。我会在这里纠正吗?