2

我正在为我的 Web 应用程序开发一个 API,它可以为我的用户提供原始 JSON 数据以供他们随意使用。我正在使用带有 OAuth2 实现的 Apigility。

我希望我的用户访问我的应用程序中的屏幕以获取他们分配的凭据,然后使用它们来使用 API。我需要为每个用户创建一个 client_id 还是他们都可以共享同一个客户端并使用不同的用户名/密码?

我也不确定哪种 oauth 授权类型最适用。因为不涉及第三方,所以“密码”授权类型似乎就足够了;但我仍然必须在请求的标头中提供“client_id”和“client_secret”?

当用户只使用自己的 RESTful API 时,提供凭据和对用户进行身份验证的最佳方式是什么?

先感谢您。

4

1 回答 1

1

出于您提到的原因,您可以使用资源所有者密码凭证授权。您的应用程序只需要一个client_idclient_secret处理不同的用户/密码。

您可以将这些值 ( client_id, client_secret, username, password) 作为请求的 HTTP POST 参数的一部分提供给令牌端点,并取回您将在针对 API 的标头中使用的访问令牌。

于 2015-04-13T15:57:15.420 回答