阅读了有关OAuth,OIDC,PKCE,JWT等的书籍并观看了视频之后,我仍然不知道如何在我的应用程序(安全的REST API)中使用所有这些。
我的用例非常简单。我希望我的用户能够使用Google,Amazon,Okta或其他任何方式登录,而我想从他们那里获得的唯一信息是他们用来登录的电子邮件地址,除此之外没有其他信息。他们的首次登录后,他们的电子邮件将被添加到数据库中,并且在一个单独的过程中,我将向他们授予一些权限(他们可以访问哪些资源)。
因此,让我们想象一个标准的授权代码流程,让我们快速进入访问令牌部分。重定向URI已被调用,我们在我的客户端(后端/ API的某个地方)中,在其中检索访问令牌。此时,用户已成功通过身份验证。
但是现在呢?
更重要的问题是,我问的是正确的问题,还是我完全偏离了轨道,这不是它应该如何工作的?
关于您的问题:
您的用例在技术层面上根本不简单,需要很多理解。理解这些方面是一个很好的起点:
我的这些链接可能对浏览有用: