我正在尝试找出用于我的应用程序/ saas的OAuth2授权。或者,如果OAuth2甚至是正确的方法。
应用程序:
该应用程序的目的是与电子商务一起使用和集成。所以我想要的是用户是去我的网站并注册一个帐户。创建帐户后,应向用户提供凭据,用户可以使用凭据获取访问和刷新令牌。访问令牌应该提供对用户OWN资源的访问,并且优选地使用范围来限制访问。用户应该能够从他/她的帐户获取/发布/删除和删除内容,就像在提供的管理(SPA)中工作一样。他们不应该经历OAuth重定向流,因为他们将使用其服务器中的API。
我的想法
首先,我考虑使用Client Credentials资助。但后来我发现它不会提供对用户及其资源的访问权限。我开始倾向于使用资源所有者凭据授权。但是我并没有对用户选择强密码充满信心。在我能找到的几乎所有文档中,每个人似乎都不建议使用此授权。
也许OAuth不适合我的项目?也许我应该去一些可以交换访问令牌的API密钥?
有什么想法和/或输入?
得出的结论是OAuth2对我的情况不正确。
最后,我选择使用基于JWT的自定义解决方案。