我正在实施 oauth 2 设置,并且有一个用例,我不太确定它如何应用于 oauth 2。希望这里有人可以让我走上正确的轨道。
我的平台包含一个我想从移动应用程序访问的 api。由于我同时控制应用程序和 api,并且还拥有拥有数据的用户,因此我认为资源所有者密码凭据授予权限非常适合。但是在应用程序上,我希望用户现在只能通过 facebook 登录。当我从 facebook 收到 uid 和访问令牌时,我会在我的 api 中创建一个新用户或更新当前用户。在此过程中不会设置密码,并且由于密码授予需要用户名和密码才能获取访问令牌,因此我的问题变得很明显。
那么,对于这个用例有什么好的做法呢?我应该为用户创建密码还是将 facebook 令牌作为在 api 中验证的有效密码凭据发送?或者也许不同的资助类型更适合?
感谢任何反馈!
谢谢!