Login Oauth 2.0对授权类型、客户端id和客户端机密的澄清_Login_Oauth 2.0

Login Oauth 2.0对授权类型、客户端id和客户端机密的澄清,login,oauth-2.0,Login,Oauth 2.0,我需要实现OAuth2.0协议。我只是想知道整个工作流程对我来说是否清晰，如果我误解了什么，我希望你能帮助我。这就是我所理解的：使用我的客户端应用程序的用户必须登录到我的系统。他屈服了电子邮件和密码（防止注册）到服务器（可能是 Tomcat上的servlet）。这个servlet验证他的凭证，因此他是授权类型，在我的情况下是“密码”类型（或是吗？）。[第一个问题：资源所有者是否有问题还要向用户提供客户端ID和客户端机密？如果是，我应该如何处理生成它们？如果不是，是谁将这些东西提供

我需要实现OAuth2.0协议。我只是想知道整个工作流程对我来说是否清晰，如果我误解了什么，我希望你能帮助我。这就是我所理解的：

使用我的客户端应用程序的用户必须登录到我的系统。他屈服了电子邮件和密码（防止注册）到服务器（可能是 Tomcat上的servlet）。这个servlet验证他的凭证，因此他是授权类型，在我的情况下是“密码”类型（或是吗？）。[第一个问题：资源所有者是否有问题还要向用户提供客户端ID和客户端机密？如果是，我应该如何处理生成它们？如果不是，是谁将这些东西提供给用户的？是使用我的应用程序的每个用户的客户端ID都相同？第二个问题： grant_类型只是一个显示授予类型的字符串（意思是：“密码”或“凭证”或“隐式”）？]

现在，用户获得了grant_类型并进行了验证凭据，他需要访问令牌和刷新令牌。他必须将授权类型、客户端id和客户端机密发送到身份验证\u服务器（同时包装令牌\u端点），以及给他访问令牌和刷新令牌。现在的用户，什么时候有要向资源请求某些内容，\u服务器提供访问\u令牌和刷新令牌。如果访问令牌已过期，则资源所有者检查刷新令牌是否仍然有效，以及生成另一个访问令牌。[第三个问题：为什么刷新令牌这么有用？如果中间有人偷了请求时，他将获得访问令牌和刷新令牌，因此，尽管访问令牌将过期，但他可以使用刷新令牌，对吗？第四个问题：用户必须发送吗请求时总是使用访问\u令牌吗？]

谢谢大家。祝你今天愉快D:D

您对OAuth2流和术语的理解似乎有点模糊。在这里向您解释没有多大意义，因为这些信息是广泛可用的。试试看