我似乎很混淆,不知何故OAUTH2或它更新更严格的子集OpenID Connect只是不要点击我的头...
我的应用程序是RESTFUL服务,没有任何Web UI .
有几个客户正在使用它(来自网络和移动应用程序)我的服务应该存储每个用户数据 .
现在我们希望允许客户端通过支持OAUTH2的常见提供商进行身份验证(例如facebook,google等...)
他们应该能够在他们的应用程序中处理身份验证,并且只需为我的服务提供一个身份令牌,我可以在“Ok这是一个由有效权限签名的有效用户令牌”中进行验证,并且可以用来关联用户数据 . 我的一面 . (并在以后返回客户端)
如何用OAUTH2实现这一目标?使用哪种流程?
1 回答
身份令牌是OIDC(OpenID Connect)的东西,OAuth2是关于授权的 . 验证(验证)最终用户身份是OIDC的主要目标 .
在您的使用案例中:通常在OP认证的最终用户(主要使用隐式流)之后,客户端/ RP(中继方)将接收身份令牌,而访问令牌,身份令牌用于客户端,访问令牌是令牌用于请求受保护的REST API .
示例:
setRequestHeader("Authorization", "Bearer " + token);现在你的REST API,将收到的承载/访问令牌(通常是JWT格式)发送给OP,如果它有效,那么你应用你的权限/过滤逻辑 .
也许这个gist将帮助您了解每个流程的用例 .
希望它能回答你的问题 .