Language agnostic 在OAuth2.0中使用Facebook访问令牌作为资源所有者凭据
OAuth 2.0规范定义了,它允许资源所有者密码凭据(即用户名和密码)直接用作授权,以获得访问令牌 我想允许用户在客户端“通过Facebook登录”,而不是直接提供凭据。然后,客户端可以将用户的Facebook访问令牌交换为授权服务器的访问令牌。这个方案是否适合OAuth2的框架 然后,客户端可以将用户的Facebook访问令牌交换为授权服务器的访问令牌 这是否意味着你有两个授权服务器(一个是Facebook,另一个是你的私人服务器)?如果是-您正在滥用OAuth,应该使用授权码授权方案 在OAuth 2.0规范(v25)的图5中,您可以找到工作流定义:Language agnostic 在OAuth2.0中使用Facebook访问令牌作为资源所有者凭据,language-agnostic,oauth-2.0,oauth-provider,Language Agnostic,Oauth 2.0,Oauth Provider,OAuth 2.0规范定义了,它允许资源所有者密码凭据(即用户名和密码)直接用作授权,以获得访问令牌 我想允许用户在客户端“通过Facebook登录”,而不是直接提供凭据。然后,客户端可以将用户的Facebook访问令牌交换为授权服务器的访问令牌。这个方案是否适合OAuth2的框架 然后,客户端可以将用户的Facebook访问令牌交换为授权服务器的访问令牌 这是否意味着你有两个授权服务器(一个是Facebook,另一个是你的私人服务器)?如果是-您正在滥用OAuth,应该使用授权码授权方案 在O
在这两个地方,你都有一个而且只有一个授权服务器——在你的例子中是Facebook。是的,在这个方案中实际上有两个授权服务器。第一个是API的一部分,第二个是FB。因此,我认为如果客户机已经有了用户的FB访问令牌,它可以使用该令牌作为用户的凭据(无需输入login/passord)。然后,我们的授权服务器可以检查令牌是否有效,并发出一个新令牌(用于我们自己的服务器)。我希望这是有意义的:)正如我在回复中所写的,使用授权代码是有意义的。