我正在使用Postman开发REST API,并且能够设置Oauth2,以便在发送客户端ID和客户端密钥后请求客户端凭据访问令牌 .
然后我可以使用我收到的访问令牌来发送API资源请求 . 因此,在Header中,我添加了Authorization Bearer [访问令牌],我可以通过身份验证并访问资源 .
现在,这是正常的做事方式吗?它总是一个两步的过程吗?或者是否期望当客户端请求访问并获取令牌时,访问所请求资源的过程是自动完成的(例如通过重定向)?
因此,对资源的请求之类的内容包括请求正文中的客户端ID和客户端密钥(以及其他正文参数),然后应用程序检查然后在一步验证凭据后重定向到资源 .