OAuth2 -认证Web API(因此没有任何前端),同时也是“客户端”

jhdbpxl9  于 2023-10-15  发布在  其他
关注(0)|答案(2)|浏览(102)

我正在使用.NET 6实现一个简单的OAuth2服务器,我想知道是否有一种方法可以授权一个具有受保护端点的Web API项目,但同时在启动时从OAuth2服务器进行身份验证。
因此,没有任何类型的前端,因此没有物理用户插入凭据。
我想了解是否可以在webAPI和OAuth服务器之间不使用第三方客户端应用程序的情况下对web API进行身份验证。如果是的话,对于这种情况,最好的认证流程是什么?

jjjwad0x

jjjwad0x1#

这就是构建客户端凭据授予类型的目的。
https://www.rfc-editor.org/rfc/rfc6749#section-1.3.4
没有用户,客户端通过验证为先前安排的允许访问的客户端来“授权自己”。
这里的图表在可视化方面非常有用。
https://www.rfc-editor.org/rfc/rfc6749#section-4.4

jw5wzhpr

jw5wzhpr2#

在大多数情况下,您需要一个“登录窗口”来输入用户名和密码,然后获得访问令牌。
如果没有“登录窗口”,您应该已经在代码中有了用户凭据。有一种叫做“资源所有者密码凭证”的流程可能满足你的需求。https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc#authorization-request

相关问题