我需要对特定上下文中的访问令牌有所了解。
我有一个拥有用户的应用程序。用户正在使用凭据(电子邮件,密码)通过ui和auth api进行连接。 此应用使用了不同的用户端点api,例如计费api。
直到那时,ui都在将用户凭据发送到auth api,并收到访问令牌(带有签名的cookie)。
我现在需要将此应用程序的范围扩展到第三方客户。 客户端必须只能创建和连接他们的用户。因此,这不是像instagram这样使用facebook auth连接用户和facebook id的情况。我不需要用户批准或授权码。
客户端还可以访问特定的应用程序终结点(无论是否经过身份验证的用户)
我应该为客户端实现OAuth(1.0还是2.0);检查授权标头中的承载/访问令牌以验证客户端的身份,并检查cookie中的访问令牌以验证用户是否已连接?
在一个http请求中是否可以有2个不同的访问令牌(客户端1个,用户1个)?这样做似乎正常吗?
您将实施哪种解决方案?
致谢