您混淆了不同的 OAuth 流程。用户进行身份验证的流程通常是 authentication_code 流程,而您要使用的应该是 client_credentials 流程。
让我们称您的应用程序为“A”,而您正在使用其服务的组织为“B”。
在 client_credentials 流程中,A 会将他的 client_id 和 client_secret 发送到 B 的授权服务器。该服务器将返回一个访问令牌,您现在可以使用它来调用 B 的资源服务器(服务本身)。
+---------------+ +------------------+
| Application A | 1 | Authorization |
| +----------+ serveur |
+---------------+ 2 +------------------+
+---------------+ +------------------+
| Application A | 3 |Resource Server |
| +----------+ |
+---------------+ 4 +------------------+
- 带有 client_id 和 client_secret 的令牌请求
- 令牌响应:带有 access_token 的 json
- 带有标题“授权:承载”的服务请求
- 服务响应如常。
令牌请求通常具有以下格式:
POST /token HTTP/1.1
Host: authorization-server.com
grant_type=client_credentials
&client_id=xxxxxxxxxx
&client_secret=xxxxxxxxxx
但有些人可能会选择强制执行另一个选项:在授权标头中传递客户端信息:
POST /token HTTP/1.1
Host: authorization-server.com
Authorization: Basic base64(client_id:client_secret)
grant_type=client_credentials
Base64 是这里的函数,而不是文字字符串。