适用于移动应用程序、Web 应用程序的正确 Oauth 2.0 流程
Right Oauth 2.0 flow for mobile-app, web app
我在服务器中使用 Spring MVC 项目来提供 API 以访问来自移动应用程序和网络应用程序的数据。
对 Oauth 2.0 的安全性进行了研究,认为授权代码流适用于上述两个应用程序,但对此几乎没有混淆。谁能说出哪种流程最适合这种场景?
信息:我需要在服务器端实现Oauth 2.0(Spring部署在AWS的MVC项目)。
如果您正在实施自己的授权服务器并且您已经处理了您的 consumerDB,我认为您不需要 oAuth2 的授权代码授予类型。您可以使用客户端凭据或 ROPC。当登录由第 3 方(授权服务器)处理时使用授权码。
oAuth2 中有 4 种授权类型,适用于不同的场景。参考:Securing an existing API with our own solution
我在服务器中使用 Spring MVC 项目来提供 API 以访问来自移动应用程序和网络应用程序的数据。
对 Oauth 2.0 的安全性进行了研究,认为授权代码流适用于上述两个应用程序,但对此几乎没有混淆。谁能说出哪种流程最适合这种场景?
信息:我需要在服务器端实现Oauth 2.0(Spring部署在AWS的MVC项目)。
如果您正在实施自己的授权服务器并且您已经处理了您的 consumerDB,我认为您不需要 oAuth2 的授权代码授予类型。您可以使用客户端凭据或 ROPC。当登录由第 3 方(授权服务器)处理时使用授权码。
oAuth2 中有 4 种授权类型,适用于不同的场景。参考:Securing an existing API with our own solution