当没有第三方应用程序时,是否可以使用OAuth2.0?
我对OAuth2.0的理解是,它定义了一个授权协议,其中服务器(authorization_server)管理授权第三方客户端应用(client)以代表用户(RESOURCE_OWNER)访问服务器(RESOURCE_server)拥有的资源所需的工作流 这来自OAuth规范: OAuth 2.0授权协议支持第三方应用程序 要获得对HTTP服务的有限访问权,请代表 通过协调 资源所有者和HTTP服务,或允许第三方 代表其自身获取访问权限的应用程序 授权流程本身是明确的,关于如何实现OAuth有很多例子(比如一些应用程序获得了对Facebook用户帐户的部分访问权) 现在,我正在尝试为一些应用程序实现授权服务器,其中我的流程比OAuth指定的流程更简单(不涉及第三方应用程序):当没有第三方应用程序时,是否可以使用OAuth2.0?,oauth,oauth-2.0,authorization,keycloak,Oauth,Oauth 2.0,Authorization,Keycloak,我对OAuth2.0的理解是,它定义了一个授权协议,其中服务器(authorization_server)管理授权第三方客户端应用(client)以代表用户(RESOURCE_OWNER)访问服务器(RESOURCE_server)拥有的资源所需的工作流 这来自OAuth规范: OAuth 2.0授权协议支持第三方应用程序 要获得对HTTP服务的有限访问权,请代表 通过协调 资源所有者和HTTP服务,或允许第三方 代表其自身获取访问权限的应用程序 授权流程本身是明确的,关于如何实现OAuth有很
背景:我所有的应用程序都是基于Java的,我需要的授权策略应该是混合的(基于角色/权限和基于策略)。据我所知,Oauth2:您有一个第三方应用程序,要求用户允许她以自己的名义向应用程序询问数据。此处的第三方应用程序可能是网页、移动应用程序等
EDIT2:为OAuth2和应用程序使用单独服务器的另一个原因是,如果有一天你有多个数据源(多个API),但突然你不需要第一个,也就是放OAuth代码的那个,你会怎么做?如果您将OAuth2路由放在单独的服务器上,它会更好、更可靠。您最好查询(本地)LDAP服务器或数据库以获取所需的授权信息类型。OAuth是专门为避免应用程序对用户进行身份验证而设计的