场景是我们需要一个固定的用户身份来访问服务器API,所以不能使用客户端凭证流,因为它只包含应用程序信息。
认证发生在网页服务器和具有ROPC流程的认证服务器之间,用户名/密码从服务器存储为固定帐户。
浏览器 <-> 服务器 <---ROPC---> 认证服务器
一旦身份验证成功,服务器将拥有 JWT 访问令牌并使用此令牌调用 API 服务器。浏览器 <-> 服务器 <---JWT 访问令牌---> API 服务器
根据OAuth 2.0 安全最佳实践的第 2.4 节,本规范省略了资源所有者密码凭证授权
问题是在这种情况下,ROPC 流是否仍然适用于服务器到服务器的身份验证?