API 使用 oAuth2 和第一方应用程序进行身份验证
API authentication with oAuth2 and first-party applications
如果有人回答了这个问题,我深表歉意,但我已经搜索了几个小时,但还是不太明白。此是一个具体问题,而不是"which is best"问题。
具体问题斜体。
我创建了一个RESTfulAPI,最初是为了完全开放。但是,该组织现在决定创建一个第一方移动应用程序来使用和(在某种程度上)更新数据。
我正在研究身份验证框架 (oAuth2),不确定 oAuth2 是否是实现我们目标的正确方法。并且,如果是,哪些授权授予适用于哪组用户。
我们的目标是:
- 允许用户在第一方应用程序中登录和创建帐户,完全通过 oAuth 2 提供商(twitter、facebook、google)。这些用户可以通过第一方应用程序访问最多的数据集。
- 为用户分配不同的角色(管理员、版主等)。
- 允许其他应用程序注册、接收令牌凭据,并对数据进行有限的写入访问或扩展访问。这将打开它们以创建第三方应用程序或研究系统。
- 最后,我们希望部分数据完全公开,无需身份验证。
那么,我假设我们要设置一个 oAuth2 *服务器*(授权和资源服务器)是否正确?
如果是,哪些授权授予适用于上述情况?
最后一个问题:对于使用第一方应用的用户,该应用是否会负责让他们登录并保留他们的访问凭据? API 服务器没有 html,并且是 100% RESTful。它需要提供登录表单吗?
如果有人回答了这个问题,我深表歉意,但我已经搜索了几个小时,但还是不太明白。此是一个具体问题,而不是"which is best"问题。
具体问题斜体。
我创建了一个RESTfulAPI,最初是为了完全开放。但是,该组织现在决定创建一个第一方移动应用程序来使用和(在某种程度上)更新数据。
我正在研究身份验证框架 (oAuth2),不确定 oAuth2 是否是实现我们目标的正确方法。并且,如果是,哪些授权授予适用于哪组用户。
我们的目标是:
- 允许用户在第一方应用程序中登录和创建帐户,完全通过 oAuth 2 提供商(twitter、facebook、google)。这些用户可以通过第一方应用程序访问最多的数据集。
- 为用户分配不同的角色(管理员、版主等)。
- 允许其他应用程序注册、接收令牌凭据,并对数据进行有限的写入访问或扩展访问。这将打开它们以创建第三方应用程序或研究系统。
- 最后,我们希望部分数据完全公开,无需身份验证。
那么,我假设我们要设置一个 oAuth2 *服务器*(授权和资源服务器)是否正确?
如果是,哪些授权授予适用于上述情况?
最后一个问题:对于使用第一方应用的用户,该应用是否会负责让他们登录并保留他们的访问凭据? API 服务器没有 html,并且是 100% RESTful。它需要提供登录表单吗?