OAuth 程序:向服务器请求两次
OAuth Procedure: Request Twice to Server
我是 OAuth 的初学者,所以我的问题听起来可能很天真。我发现这张图片 online 描述了 OAuth 的工作原理。
假设客户端之前已经进行了授权,这意味着我们已经知道客户端获得了哪些授权。
所以,当客户端第二次请求授权时,我不确定为什么我们不能向客户端请求授权并且return 受保护的资源 从服务器返回给客户端?所以基本上我们跳过步骤2、3、4和5,我们只保留步骤1和6。
你在看什么"Authorization Code Grant"。这意味着您有一个身份验证服务,该服务能够向用户返回登录表单,对他们进行身份验证,然后发出授权。然后通过另一个调用将该授权转换为访问令牌。
如果您想进行应用程序级别的身份验证,请使用客户端凭据授予
这意味着您有一个 ClientID 和 ClientSecret,它们标识一个应用程序,而不是一个用户。您向这些发出请求,然后取回可用于访问受保护资源的令牌。
示例如下:https://eidand.com/2015/03/28/authorization-system-with-owin-web-api-json-web-tokens/
如果您想使用用户凭据进行身份验证,那么您可以使用资源所有者密码凭据授权。
所以,这完全取决于您在寻找什么。
我是 OAuth 的初学者,所以我的问题听起来可能很天真。我发现这张图片 online 描述了 OAuth 的工作原理。
假设客户端之前已经进行了授权,这意味着我们已经知道客户端获得了哪些授权。
所以,当客户端第二次请求授权时,我不确定为什么我们不能向客户端请求授权并且return 受保护的资源 从服务器返回给客户端?所以基本上我们跳过步骤2、3、4和5,我们只保留步骤1和6。
你在看什么"Authorization Code Grant"。这意味着您有一个身份验证服务,该服务能够向用户返回登录表单,对他们进行身份验证,然后发出授权。然后通过另一个调用将该授权转换为访问令牌。
如果您想进行应用程序级别的身份验证,请使用客户端凭据授予
这意味着您有一个 ClientID 和 ClientSecret,它们标识一个应用程序,而不是一个用户。您向这些发出请求,然后取回可用于访问受保护资源的令牌。
示例如下:https://eidand.com/2015/03/28/authorization-system-with-owin-web-api-json-web-tokens/
如果您想使用用户凭据进行身份验证,那么您可以使用资源所有者密码凭据授权。
所以,这完全取决于您在寻找什么。