OAuth2授予节点js的密码
我正在devise一个Web应用程序,主要分为以下两部分
- 网站(UI):Node JS Express应用程序将作为www.mysite.com托pipe
- Rest API:业务逻辑(Atuhentiation,授权,业务逻辑),将作为一些不同的域名托pipe,例如api.mysite.com
我想要为这个应用程序实现OAuth2 。 我通过OAuth2阅读,了解它的各种stream程,基于我的理解,我得出结论:“ 资源所有者密码凭证 ”stream是一种方式,因为客户端和服务都属于我,用户也将直接注册我的应用程序,因此他们将提供用户名和密码。
我围绕“资源所有者密码凭据”stream程进行了大量研究,但是这个stream程很less被讨论和logging。 我几乎不知道如何在应用程序中实现这个stream程。 我正在开发节点JS中的网站和Rest API。 请指导我如何实施这个? 任何演示,文件将是有益的。
提前致谢 !
你是对的。 它很less有文件logging,再加上经常误导性地解释错误。 对这个stream程的大部分解释都没有指出,这个stream程有两种不同的情况。
如果您有一个SPA或类似的开放式应用程序,您不希望拥有客户端ID,也不希望客户端使用ROPCstream程保密。 因为,每个人都可以阅读。 另外,它在RFC中不是必需的。
你的情况是关于没有代表团的双腿oauth。
这是一篇关于如何保护ROPCstream程的非常好的文章: http ://andyfiedler.com/2014/09/how-secure-is-the-oauth2-resource-owner-password-credential-flow-for-single- 网页应用
希望有所帮助,我目前正在与同一个问题斗争。