0

我们使用一些组织的 API 已经有一段时间了,但现在他们开始使用 OAuth2 进行身份验证。他们的 API 完全由我们的应用程序以编程方式使用。所以现在我们必须使用 OAuth2 进行身份验证,这样我们才能再次使用他们的 API。

我对这个身份验证过程有点困惑。有没有一种方法可以以编程方式使用 OAuth 进行身份验证?它说在进行身份验证时将要求用户在继续进行身份验证之前登录,您如何仅从代码中实现此登录?或者您是否需要先使用浏览器进行身份验证,然后使用访问令牌来获取来自应用程序的进一步请求。这种场景下 OAuth2 认证的典型流程是什么?

编辑:只有一个用户是我们的应用程序用于访问其数据的帐户。该用户最终注册为 API 的使用者。

4

2 回答 2

4

您混淆了不同的 OAuth 流程。用户进行身份验证的流程通常是 authentication_code 流程,而您要使用的应该是 client_credentials 流程。

让我们称您的应用程序为“A”,而您正在使用其服务的组织为“B”。

在 client_credentials 流程中,A 会将他的 client_id 和 client_secret 发送到 B 的授权服务器。该服务器将返回一个访问令牌,您现在可以使用它来调用 B 的资源服务器(服务本身)。

+---------------+          +------------------+
| Application A |    1     | Authorization    |
|               +----------+ serveur          |
+---------------+    2     +------------------+



+---------------+          +------------------+
| Application A |    3     |Resource Server   |
|               +----------+                  |
+---------------+    4     +------------------+
  1. 带有 client_id 和 client_secret 的令牌请求
  2. 令牌响应:带有 access_token 的 json
  3. 带有标题“授权:承载”的服务请求
  4. 服务响应如常。

令牌请求通常具有以下格式:

POST /token HTTP/1.1
Host: authorization-server.com

grant_type=client_credentials
&client_id=xxxxxxxxxx
&client_secret=xxxxxxxxxx

但有些人可能会选择强制执行另一个选项:在授权标头中传递客户端信息:

POST /token HTTP/1.1
Host: authorization-server.com
Authorization: Basic base64(client_id:client_secret)

grant_type=client_credentials

Base64 是这里的函数,而不是文字字符串。

于 2019-07-17T09:30:11.697 回答
0

我对这个问题和 Turtle 的回答都投了赞成票。我认为任何像我一样查询过这个问题的人也会受益于:

https://auth0.com/docs/authorization/flows/which-oauth-2-0-flow-should-i-use

有不同的流量。在代码之前在盒子/握手图中考虑它们。

于 2021-10-16T19:22:36.910 回答