OAuth 2.0规范定义了Resource Owner Password Credentials Grant Type,它允许资源所有者密码凭证(即用户名和密码)直接用作授权授权以获取访问令牌 .
我想允许用户在客户端上“通过Facebook登录”,而不是直接提供凭据 . 然后,客户端可以将用户的Facebook访问令牌交换为授权服务器的访问令牌 . 这个方案是否适合OAuth2的框架?
OAuth 2.0规范定义了Resource Owner Password Credentials Grant Type,它允许资源所有者密码凭证(即用户名和密码)直接用作授权授权以获取访问令牌 .
我想允许用户在客户端上“通过Facebook登录”,而不是直接提供凭据 . 然后,客户端可以将用户的Facebook访问令牌交换为授权服务器的访问令牌 . 这个方案是否适合OAuth2的框架?
1 回答
这是否意味着你有2个授权服务器(Facebook和另一个 - 你的私人服务器)?如果是 - 您正在滥用OAuth,而应使用授权代码授予方案 .
在OAuth 2.0规范(v25)的图5中,您可以找到工作流程定义:
这是来自Facebook http://developers.facebook.com/docs/guides/web/的引用:
在这两个地方,您只有一个授权服务器 - 在您的情况下 - Facebook .