我正在尝试找出要用于我的应用程序/ saas的OAuth2授权。或者说OAuth2甚至是正确的选择。
应用程序:
该应用程序的目的是与电子商务一起使用和集成。因此,对于用户来说,我想要的是转到我的网站并注册一个帐户。创建帐户后,应向用户提供凭据,他/她可以使用该凭据获取访问令牌和刷新令牌。访问令牌应提供对用户OWN资源的访问,最好使用范围来限制访问。用户应该能够从他/她的帐户中获取/发布/删除内容,就像在提供的管理员(SPA)中工作一样。 他们不必通过OAuth重定向流程,因为他们将使用服务器中的API。
我的想法
首先,我考虑获得 Client Credentials 授予。但是后来我发现它不会提供对用户及其资源的访问。 我开始倾向于使用资源所有者凭据授予。但是我对用户选择强密码并不抱有太大的信心。在我能找到的几乎所有文档中,每个人似乎都不建议使用该赠款。
也许OAuth不适合我的项目?也许我应该去找一些可以用来交换访问令牌的API密钥?
有什么想法和/或建议吗?
答案 0 :(得分:0)
我有一个链接可能对您有用。
答案 1 :(得分:-1)
得出结论,OAuth2不适合我的情况。
最后,我选择了基于JWT的自定义解决方案。