我正在尝试使用OAuth2向我的应用添加身份验证并保护后端,以便只有登录的用户才能访问它。
我只是想把我的想法缠住,这样的澄清会很好。据我了解,这是我的做法。
现在,对于所有安全请求。我将accesstoken作为参数发送到后端,该后端检查其是否有效。
这是使用oauth2创建安全的仪表板类型应用的正确方法吗?
谢谢。
答案 0 :(得分:0)
除了在步骤2中将授权码发送回OAuth2提供者(作为授权码授予消息的一部分)之外,这是正确的。
这是用户会话期间消息工作流的示例。对于移动应用程序,使用相同的OAuth消息: https://authguidance.com/2018/01/18/desktop-app-technical-workflow/
如果有帮助,我的一些代码示例可以演示这种行为-但实施起来很棘手: https://authguidance.com/home/code-samples-quickstart/