OAuth2登录(非授权)
我已经根据实现了OAuth2注册工作流(Java) 我使用GitLab作为OAuth2提供者 在用户为他的帐户授予访问我的应用程序的权限之后,我得到了一个OAuth令牌(以及刷新令牌和其他东西),我能够代表用户发出API请求,所以这工作正常 这样我就可以获得用户的电子邮件地址,我用它来创建一个内部用户 我的问题是:OAuth2登录(非授权),oauth,oauth-2.0,Oauth,Oauth 2.0,我已经根据实现了OAuth2注册工作流(Java) 我使用GitLab作为OAuth2提供者 在用户为他的帐户授予访问我的应用程序的权限之后,我得到了一个OAuth令牌(以及刷新令牌和其他东西),我能够代表用户发出API请求,所以这工作正常 这样我就可以获得用户的电子邮件地址,我用它来创建一个内部用户 我的问题是: 我的应用程序为用户生成一个令牌(连同OAuthToken)是一种实践,还是应该只使用OAauth提供者发布的令牌?(我的应用程序还具有本地身份验证和承载令牌)。此令牌将用于进一步的A
答案1: 尽管您可以使用OAuth提供商提供的令牌,但考虑到可能会出现将其公开的风险,您不应使用它 相反,您应该将OAuth提供者提供的令牌安全地保存到数据库中,并使用另一个令牌对进一步的api调用进行身份验证。(你可以用) 答案2: 有两种类型的系统
也许我不清楚:我的问题是如何在没有用户名和密码的情况下登录用户,就像很多网站上的Facebook或Google登录按钮一样。