Java 验证流中的授予类型=客户端凭据和授予类型=密码之间的差异?
我想了解Java 验证流中的授予类型=客户端凭据和授予类型=密码之间的差异?,java,wso2esb,wso2is,wso2-am,Java,Wso2esb,Wso2is,Wso2 Am,我想了解Authentication或OAuth2-Flow概念中grant\u-type=client\u-credentials和grant\u-type=password之间的区别。我的网站如下: 我假定在JavaScript开发中使用gran_type的方式是gran_type=password不安全的。但我仍然想有人能帮助我理解这个概念 我还注意到,grant\u type=client\u credentials不提供“refresh\u-token”,它只提供access\
AuthenticationOAuth2-Flowgrant\u-type=client\u-credentialsgrant\u-type=passwordgran_typegran_type=passwordgrant\u type=client\u credentialsrefresh\u-tokenaccess\u-tokengrant\u-type=passwordaccess\u-tokenrefresh\u-token希望得到详细的解释。我正在使用OAuth2的WSO2 API管理器进行应用程序开发资源所有者凭据授予(密码授予类型) 实施此授权后,客户机本身将要求用户输入用户名和密码(而不是重定向到IdP授权服务器进行身份验证),然后将其与客户机自己的凭据一起发送到授权服务器。如果身份验证成功,则将向客户端发出访问令牌 此授权适用于受信任的客户端,例如服务自身的移动客户端(例如Spotify的iOS应用程序)。您也可以在不容易实现授权代码的软件中使用此功能-例如,我们将此授权授权附加到其中,以便从大学的Active Directory服务器检索无法通过LDAP访问的用户的详细信息 客户凭证授予 此授权与资源所有者凭据授权类似,只是客户端的凭据用于验证访问令牌的请求。同样,此授权只允许受信任的客户端使用 此授权适用于机器对机器的身份验证,例如用于通过API执行维护任务的cron作业。另一个例子是客户端向API发出不需要用户许可的请求 当有人访问网站上的员工页面时,网站使用其自己的访问令牌(使用此授权生成)对API服务器的请求进行身份验证,以获取用于构建页面的员工数据。当一名员工登录以更新其个人资料时,他们自己的访问令牌用于检索和更新其数据。因此,关注点之间有很好的分离,我们可以轻松地限制每种类型的访问令牌所拥有的权限