我一直在和我的同事讨论这个问题,但我们没有明确的解决方案。OAuth 大师,请需要您的智慧!
语境:
我的公司“CompanyX”公开了一组 REST API,这些 API 受到自己的 OAuth2 服务的保护。我可以完全控制 OAuth 的实施。
第三方开发者使用 API 和 OAuth 来开发应用程序。
我的公司计划为桌面和移动浏览器开发一个仅限客户端的 Web 应用程序。此应用程序的用户使用用户名/密码登录他们的帐户。本着“吃我们自己的狗粮”的精神,新的网络应用程序将使用现有的 REST API 和 OAuth 服务。
本能地,我会让我的应用程序使用 OAuth2 密码授权类型。
问题陈述:
想象一下:作为用户,您按下 CompanyX(我的公司)开发的 AppX(我的应用程序)上的登录按钮。它会将您重定向到一个显示以下内容的框:
“AppX by CompanyX”想要访问您的 CompanyX 数据,您允许吗?
这看起来不对:CompanyX 不应该请求用户的许可来访问它自己管理的数据,对吧?此处应如何使用 OAuth,应使用哪种 OAuth 授权类型不会损害应用程序机密(这是一个仅限客户端的“不安全”Web 应用程序)?
谢谢雷米