我创建了一个服务,无需用户交互,即可访问我的API . Api需要了解用户 . 因此,我需要资源所有者流程 .
要访问我的Api,我需要一个具有正确范围“MyApiScope”的access_token . 我可以使用指定scope =“MyApiScope”的资源所有者流获取access_token . 但我不会以这种方式获得刷新令牌 .
我可以使用指定scope =“offline_access”的资源所有者流获取refresh_token . 但是使用此刷新令牌生成的access_tokens不能用于访问我的Api,因为它们不包含正确的范围,“offline_access”!=“MyApiScope” .
在这种情况下,是否只能使用刷新令牌,因此我是否应始终使用用户名/密码来获取新的access_token?
谢谢你的建议 .
1 回答
只需添加以空格分隔的所有必需范围即可 .
grant_type=password&username={USERNAME}&password={PASSWORD}&client_id={CLIENT_ID}&client_secret={CLIENT_SECRET}&scope=MyApiScope offline_access