我似乎很困惑,以某种方式OAUTH2或更新的更严格的子集OpenID Connect只是不要单击我的头...
我的应用程序是一种RESTFUL服务,没有任何Web UI。
几个客户端正在使用它(通过Web和移动应用程序)我的服务应按用户数据存储。
现在,我们希望允许客户端通过支持OAUTH2的通用提供程序进行身份验证(例如facebook,google等。)
他们应该能够在其应用程序中处理身份验证,并且只需向我的服务提供一个身份令牌即可验证,就像在“好吧,这是由有效授权机构签署的有效用户令牌”中一样,并且可以用来关联用户数据我的身边。(并稍后再返回给客户)
如何用OAUTH2实现呢?使用哪个流程?
身份令牌是OIDC(OpenID Connect)的东西,OAuth2是关于授权的。验证(认证)最终用户身份是OIDC的主要目标。
在您的用例中:通常,在最终用户通过OP(主要使用隐式流程)进行身份验证之后,客户端/ RP(中继方)将收到身份令牌和访问令牌,身份令牌用于客户端,访问令牌是用于用于请求受保护的REST API。
例子: setRequestHeader("Authorization", "Bearer " + token);
现在,您的REST API将收到的承载/访问令牌(通常为JWT格式)发送给OP,如果其有效,则您将应用权限/过滤逻辑。
也许要点将帮助您了解每个流程的用例。
希望它回答您的问题。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句