用于多个 API 的 OAuth 流程
What OAuth flow to use for Multiple APIs
我目前正在进行的项目包括以下内容:
- 根据 Active Directory 对用户进行身份验证的中央身份服务器
- 不同用户具有不同级别访问权限的几种不同 API
- 用户登录以访问 API 的几个 JS 网络应用程序
在 Web 应用程序和身份服务器之间应使用什么身份验证流程,以允许 API 获取有关用户的信息并在其中授权用户?我有点卡在这里。
您通常会使用 OAuth 2.0 隐式授权来获取 JS 网络应用程序的访问令牌,然后它可以在调用 API 时使用该令牌。 API 可以利用访问令牌来了解授予 API 访问权限的资源所有者。
更新:请参阅下面关于在 Code+PKCE 上弃用隐式的评论。
我目前正在进行的项目包括以下内容:
- 根据 Active Directory 对用户进行身份验证的中央身份服务器
- 不同用户具有不同级别访问权限的几种不同 API
- 用户登录以访问 API 的几个 JS 网络应用程序
在 Web 应用程序和身份服务器之间应使用什么身份验证流程,以允许 API 获取有关用户的信息并在其中授权用户?我有点卡在这里。
您通常会使用 OAuth 2.0 隐式授权来获取 JS 网络应用程序的访问令牌,然后它可以在调用 API 时使用该令牌。 API 可以利用访问令牌来了解授予 API 访问权限的资源所有者。
更新:请参阅下面关于在 Code+PKCE 上弃用隐式的评论。