具有单个服务器的 OAuth 2.0
OAuth 2.0 with a single server
我发现 OAuth 2.0 协议需要具有 API 的 "Web App Server" 以及对用户进行身份验证的 "OAuth 2" 服务器。虽然这可以在单个服务器上完成,还是有特定原因必须在两个单独的服务器上完成?
身份验证可以是对单个 Web 服务器的登录 API 调用,returns 访问令牌本身还是一种错误的身份验证方式?
“Web 应用程序服务器”(OAuth 2.0 术语中的资源服务器)和“OAuth 2”服务器(OAuth 2.0 术语中的授权服务器)当然可以位于同一台服务器上。该概念旨在将用户(资源所有者)的身份验证和调用者(客户端)的授权从应用程序本身分离到一个单独的服务(授权服务器)中,但是假设该单独的服务是否存在于同一个盒子上是无关紧要的你控制两者。
身份验证可以是登录 API 调用 returns 访问令牌。这方面的例子是所谓的资源所有者密码凭证授予 (https://www.rfc-editor.org/rfc/rfc6749#section-4.3) and the Client Credentials grant (https://www.rfc-editor.org/rfc/rfc6749#section-4.4)。
我发现 OAuth 2.0 协议需要具有 API 的 "Web App Server" 以及对用户进行身份验证的 "OAuth 2" 服务器。虽然这可以在单个服务器上完成,还是有特定原因必须在两个单独的服务器上完成?
身份验证可以是对单个 Web 服务器的登录 API 调用,returns 访问令牌本身还是一种错误的身份验证方式?
“Web 应用程序服务器”(OAuth 2.0 术语中的资源服务器)和“OAuth 2”服务器(OAuth 2.0 术语中的授权服务器)当然可以位于同一台服务器上。该概念旨在将用户(资源所有者)的身份验证和调用者(客户端)的授权从应用程序本身分离到一个单独的服务(授权服务器)中,但是假设该单独的服务是否存在于同一个盒子上是无关紧要的你控制两者。
身份验证可以是登录 API 调用 returns 访问令牌。这方面的例子是所谓的资源所有者密码凭证授予 (https://www.rfc-editor.org/rfc/rfc6749#section-4.3) and the Client Credentials grant (https://www.rfc-editor.org/rfc/rfc6749#section-4.4)。