Oauth 2.0 关于OAuth 2.0场景的任何参考,其中*client*是web服务
我正在考虑OAuth 2.0场景,其中OAuth客户端是一个web服务: 用户-->web服务客户端(浏览器上的AJAX应用程序)-->web服务(OAuth客户端)-->web服务(OAuth资源服务器) 但是,我无法将此场景映射到OAuth 2.0草案22或“OAuth用例”草案中描述的任何场景/用例中 是否有任何关于此类申请的参考资料(如文件、帖子) 添加一些名称以澄清讨论Oauth 2.0 关于OAuth 2.0场景的任何参考,其中*client*是web服务,oauth-2.0,Oauth 2.0,我正在考虑OAuth 2.0场景,其中OAuth客户端是一个web服务: 用户-->web服务客户端(浏览器上的AJAX应用程序)-->web服务(OAuth客户端)-->web服务(OAuth资源服务器) 但是,我无法将此场景映射到OAuth 2.0草案22或“OAuth用例”草案中描述的任何场景/用例中 是否有任何关于此类申请的参考资料(如文件、帖子) 添加一些名称以澄清讨论 用户-->C(例如AJAX应用程序)-->Service1(OAuth客户端)-->Service2(OAuth R
用户-->C(例如AJAX应用程序)-->Service1(OAuth客户端)-->Service2(OAuth RS)AJAX客户端可以使用隐式授权类型直接从授权服务器(As)的授权端点获取访问令牌(AT)。此授权类型是对更知名的授权代码授权类型(即三条腿OAuth)的优化。(基于浏览器的JavaScript客户端无法保守秘密,因此我没有必要让它们为AT交换代码。)然后Web服务(在这种安排中,它将是一个资源服务器(RS),将使用IINM客户端凭据授予类型将AJAX客户端的AT交换为一个新的AT,并将其发送到AS的令牌端点。然后,它将第二个AT发送到下游服务(也是RS)。如果第一个AT是承载令牌,则两个服务都信任AS,而第二个服务不需要AT中第一个服务的信息,则不需要交换令牌
嗯 AJAX客户端可以使用隐式授权类型直接从授权服务器(As)的授权端点获取访问令牌(AT)。此授权类型是对更知名的授权代码授权类型(即三条腿OAuth)的优化。(基于浏览器的JavaScript客户端无法保守秘密,因此我没有必要让它们为AT交换代码。)然后Web服务(在这种安排中,它将是一个资源服务器(RS),将使用IINM客户端凭据授予类型将AJAX客户端的AT交换为一个新的AT,并将其发送到AS的令牌端点。然后,它将第二个AT发送到下游服务(也是RS)。如果第一个AT是承载令牌,则两个服务都信任AS,而第二个服务不需要AT中第一个服务的信息,则不需要交换令牌
嗯 如果我理解正确:1)C请求AT从AS(说明AS是服务2,客户端是服务1;2)C将此AT发送到服务1;3) 新AT的服务1变更(AT,服务1信用);4) Service1将新的AT发送给Service2;这是正确的吗?如果我理解正确:1)C请求来自AS(说明AS是服务2,客户端是服务1;2)C将此AT发送给服务1;3) 新AT的服务1变更(AT,服务1信用);4) Service1将新的AT发送给Service2;这是正确的吗?