我正在使用.NET 6实现一个简单的OAuth2服务器,我想知道是否有一种方法可以授权一个具有受保护端点的Web API项目,但同时在启动时从OAuth2服务器进行身份验证。因此,没有任何类型的前端,因此没有物理用户插入凭据。我想了解是否可以在webAPI和OAuth服务器之间不使用第三方客户端应用程序的情况下对web API进行身份验证。如果是的话,对于这种情况,最好的认证流程是什么?
jjjwad0x1#
这就是构建客户端凭据授予类型的目的。https://www.rfc-editor.org/rfc/rfc6749#section-1.3.4没有用户,客户端通过验证为先前安排的允许访问的客户端来“授权自己”。这里的图表在可视化方面非常有用。https://www.rfc-editor.org/rfc/rfc6749#section-4.4
jw5wzhpr2#
在大多数情况下,您需要一个“登录窗口”来输入用户名和密码,然后获得访问令牌。如果没有“登录窗口”,您应该已经在代码中有了用户凭据。有一种叫做“资源所有者密码凭证”的流程可能满足你的需求。https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc#authorization-request
2条答案
按热度按时间jjjwad0x1#
这就是构建客户端凭据授予类型的目的。
https://www.rfc-editor.org/rfc/rfc6749#section-1.3.4
没有用户,客户端通过验证为先前安排的允许访问的客户端来“授权自己”。
这里的图表在可视化方面非常有用。
https://www.rfc-editor.org/rfc/rfc6749#section-4.4
jw5wzhpr2#
在大多数情况下,您需要一个“登录窗口”来输入用户名和密码,然后获得访问令牌。
如果没有“登录窗口”,您应该已经在代码中有了用户凭据。有一种叫做“资源所有者密码凭证”的流程可能满足你的需求。https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc#authorization-request