Node.js 使用节点js授予OAuth2密码

我正在设计一个web应用程序，主要分为以下两部分

网站（UI）：节点JS Express应用程序将作为www.mysite.com托管

RESTAPI：业务逻辑（认证、授权、业务逻辑），将作为不同的域托管，例如API.mysite.com

我想为这个应用程序实现OAuth2。我通读了OAuth2，了解了它的各种流，根据我的理解，我得出结论“资源所有者密码凭据”“流是一种方式，因为客户端和服务都属于我，用户也将直接向我的应用程序注册，因此他们将提供用户名和密码

我研究了很多关于“资源所有者密码凭证”的流程，但是很少讨论和记录这个流程。对于我应该如何在我的应用程序中实现这个流，我几乎一无所知。我正在NodeJS中开发网站和RESTAPI请指导我如何实现这一点？任何演示、文档都会很有帮助。

---

提前谢谢

你说得对。它的记录很少，加上它经常被错误地解释。 对该流的大多数解释都没有指出，该流有两种不同的情况

如果您有SPA或类似的开放式应用程序，则不希望在ROPC流中包含客户端id或客户端机密。因为，每个人都能读。此外，RFC中也不需要它

你的情况是没有授权的两条腿的oauth

下面是一篇关于如何保护ROPC流的非常好的文章：

---

希望这能有所帮助，我目前也遇到了同样的问题。

使用资源所有者密码凭据样式，您能取得任何进展吗？你能分享你使用的开源库吗。