我正在构建一个完整的堆栈应用程序 . 前端将是SPA,后端部分将成为跨多个资源服务器的statelss restful API . 此外,我想将身份验证和授权分离为微服务,并考虑使用OAuth2作为协议 .
目标流将类似于SPA用户将向身份验证服务提交ID /密码,OAuth2服务器将使用访问令牌进行响应 . 在随后的资源请求中,SPA将与访问令牌一起提交给资源服务器,然后资源服务器将要求auth服务器验证令牌 .
我的问题是,OAuth2是否适合上述情况,如果是这种情况,我应该使用哪种OAuth2授权类型/流量?
1 回答
授权代码授权类型应该适合您 - 这通常是如何工作的:
用户通过浏览器加载SPA
用户按下登录并重定向到Auth Server登录页面
用户输入他的用户名和密码
Auth Server使用授权码重定向回SPA
SPA的后端调用Auth服务器并为其提供授权代码 . 如果有效,Auth服务器将返回访问令牌 .
访问令牌与用户的会话绑定,用户已成功登录 .
每次调用资源服务器时,都会提供访问令牌并使用Auth服务器进行检查 .