1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 第一个澄清点是为什么服务器端认证需要登录页面?服务器端意味着机器对机器的身份验证,因此没有期望最终用户输入的登录表单。
如果是这种情况,则建议使用 客户端凭据身份验证流程方法。在这种情况下,客户端应用程序将使用 app-client id 和 secret 进行身份验证(使用安全的后台通道,在这种情况下没有浏览器),身份验证后,客户端应用程序获取 accessToken 并且客户端应将此访问令牌传递给后端(Chorus)称呼。此令牌不应暴露给最终用户。
您还提到“示例都使用仅客户端流,从而在浏览器中生成令牌”。 OAuth2 有多个身份验证流程,向浏览器返回令牌的是“隐式授予”,除非您不能使用推荐的“授权代码授予”,否则不推荐使用。在授权代码授予中,客户端收到一个代码而不是令牌,该代码可以通过安全的反向通道(而不是浏览器)传递到令牌端点以获取令牌。查看这篇博文,了解有关身份验证流程的更多详细信息。
我认为您可能需要一个 specreq 来讨论客户的用例并获得有关使用哪个身份验证流程以及如何使用的建议。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前