我已经使用 auth0 有一段时间了,目前正在考虑我们应用程序的一个用例,它似乎打破了授权流程的基本模式。
我们将在不久的将来在一些贸易展览会上展示我们的产品,并计划让潜在客户访问我们的应用程序,以便他们自己判断其功能。我们希望使入职过程尽可能快速和简单,并希望将注册和登录程序推迟到稍后阶段。
我考虑将印在卡片上的演示代码分发给感兴趣的人,以限制访问,并将元数据链接到它,例如展会名称和其他有用信息。用户可以使用此演示代码登录或扫描二维码,该二维码可解析为我们的应用程序的链接,其中嵌入了演示代码。
如果有的话,哪种授权流程适合我的需要?我想到了资源所有者密码授予,它应该生成一个访问令牌并可以设置一个演示范围,以便我们的 api 可以拒绝对该范围不允许的资源的请求。但这仍然需要将用户密码组合发送到 auth0-api 并假设用户已经注册。
另一种选择是将注册代码发送到我们的后端,对其进行验证,然后生成访问令牌和临时用户帐户并将代码发送回客户端。但我在文档中找不到与此过程接近的场景。
有没有更好的方法来实现这一点?