我试图从我想要保护的API和使用此API的Vue.js中基于JavaScript的单页应用程序的上下文中了解OAuth。有人告诉我,OAuth是这类事情的行业标准。
我想让其他客户端(如移动的应用程序)也使用相同的API。
从我所收集的正确流中可以看出,使用代码交换证明密钥(PKCE)https://oauth.net/2/pkce/的授权代码流
我感到困惑的是,我似乎需要如何让用户批准访问。例如,你没有Twitter说“你想让Twitter使用Twitter吗”。如果我处于人们使用该帐户创建另一个帐户的位置,我不会有任何困惑,但当客户端是你自己的网站时,应该发生什么?
我可以想象我可以自动批准网站,或者绕过用户批准的部分,但我觉得我偏离了脚本。然后我想,我是不是完全搞错了--OAuth不是为此设计的吗?
如果有人能看出我的无知在哪里,我会非常乐意被纠正!
谢谢你!
2条答案
按热度按时间cunj1qz11#
OAuth和OpenID Connect使您能够以多种方式对Web和移动的客户端的用户进行身份验证。每个应用程序都实现一个代码流并重定向到授权服务器(AS)。
每个客户端都在AS中配置了一个条目,并且可以在需要时禁用同意。通常只在涉及个人资产时启用。例如,授予安全代码扫描服务访问我的GitHub仓库。
vecaoik12#
通过询问和阅读更多信息,我们发现搜索“第一方”提供商:这是可以的,只是有主网站绕过位,他们批准访问,只是发送令牌。