0

我正在创建一个 API 并且有多个客户端,所以我正在实现一个客户端 id-secret artitechure。我的问题是:

  • 我应该什么时候创建客户端 ID 和密码?在登录注册期间?
  • 我应该如何将用户连接到各自的客户端 ID?
  • 我应该如何存储客户端 ID 和机密?
4

1 回答 1

1
  • 客户端 ID 和密钥(OAuth2 中的客户端凭据)用于在服务器和服务器之间进行通信(因为密钥存储在服务器 Web 中,任何人都想在未经许可的情况下访问),如果对于用户 Web,我建议您使用授权代码流
  • 每个客户端都有一个客户端 ID(每个资源唯一)
  • 使用客户端 ID、密码(由 md5 编码,...)、角色、范围...存储在表中,并使用它进行验证,然后为客户端创建一个新令牌。客户端将使用令牌来请求您的 API,只需在需要刷新令牌或创建新令牌时使用秘密
于 2021-05-10T16:28:58.297 回答