情景是这样的
- 服务 API 需要用户信息(用户 ID 或登录电子邮件)来处理 API 调用,最好从访问令牌中提取信息。
- 从客户端(可能是网页),我们希望使用固定帐户(用户名/密码)并且不需要用户手动输入,登录应该是非交互的并且对每个用户都是透明的。将此帐户视为服务帐户,不属于个人用户。
在这种情况下,从 OAuth 标准流中,不能使用客户端凭据流,因为它仅包含应用程序信息。此外,不能使用代码授权/隐含流程,因为它至少需要一次用户交互(向授权服务器提供身份)。在这种情况下,ROPC 流程是唯一的选择吗?或者还有更好的选择,因为 ROPC 被认为安全性较低,建议不要使用“OAuth 2.0 安全最佳当前实践”。