0

只是为了澄清我对 Torii 为客户端静态应用程序提供的内容的理解:

  • OAuth 2.0 的隐式授权工作流程是唯一适用于客户端静态应用程序的 OAuth 工作流程。

  • Torii 仅通过torii/providers/oauth2-bearer支持此功能,它返回令牌而不是代码。

  • 如果 1. 和 2. 为真,那么我想所有使用 Torii 的客户端静态应用程序都只会使用oauth2-bearer方法。Torii 中的其他提供程序,例如基于代码工作流的条带连接等,需要服务器支持才能根据代码获取 AccessToken。

这是正确的吗?

提前致谢。

4

1 回答 1

0

Torii 中的一些概念可能有点难以理解。因为它非常灵活,所以大多数问题的答案都是“视情况而定”。

你的理解基本正确:

  1. 是的,唯一有用的不需要具有共享密钥的服务器的 OAuth 工作流是隐式授权。

  2. 是的,承载提供者不需要您运行服务器。facebook-connect 提供程序或任何使用相同方法的自定义提供程序也没有。

  3. 使用 Torii 的无服务器应用程序不能使用授权代码工作流,并且需要返回访问令牌的身份验证机制。这很可能使用 oauth2-bearer 提供程序,但您可以使用 facebook-connect 或任何其他类似方法。

于 2016-02-20T12:01:07.750 回答