Rest rfc6749 4.3-资源所有者到身份验证服务器的直接通信?
背景 我正在构建一个spa和移动应用程序,它将与RESTAPI进行通信。我想运行一个单独的身份验证服务器来管理用户(资源所有者),并认为oAuth2 4.3资源所有者密码凭据授予对我的应用程序有意义 ,用户(资源所有者)应该直接与我的rest api(客户端)通信,然后我的rest api(客户端)应该与身份验证服务器通信Rest rfc6749 4.3-资源所有者到身份验证服务器的直接通信?,rest,authentication,oauth-2.0,rfc6749,Rest,Authentication,Oauth 2.0,Rfc6749,背景 我正在构建一个spa和移动应用程序,它将与RESTAPI进行通信。我想运行一个单独的身份验证服务器来管理用户(资源所有者),并认为oAuth2 4.3资源所有者密码凭据授予对我的应用程序有意义 ,用户(资源所有者)应该直接与我的rest api(客户端)通信,然后我的rest api(客户端)应该与身份验证服务器通信 +----------+ | Resource | | Owner | | | +---------
+----------+
| Resource |
| Owner |
| |
+----------+
v
| Resource Owner
(A) Password Credentials
|
v
+---------+ +---------------+
| |>--(B)---- Resource Owner ------->| |
| | Password Credentials | Authorization |
| Client | | Server |
| |<--(C)---- Access Token ---------<| |
| | (w/ Optional Refresh Token) | |
+---------+ +---------------+
Figure 5: Resource Owner Password Credentials Flow
+----------+
|资源|
|所有者|
| |
+----------+
v
|资源所有者
(A) 密码凭证
|
v
+---------+ +---------------+
||>--(B)--资源所有者------->|
||密码凭证|授权|
|客户端| |服务器|
| || |
|| |授权|
|休息| |服务器|
|API |OAuth 2.0由两个协议部分组成:如何从授权服务器“获取”访问令牌,以及如何对资源服务器提供的受保护资源“使用”访问令牌
您从规范粘贴的图片不包含“使用访问令牌”的部分,因为这在所有授权中都是通用的;它只关注“获取访问令牌”这一部分
您的图表将这两个角色放在一张图片中,但您混淆了角色:RESTAPI不是客户机。客户是你的水疗中心。API是资源服务器。然后,您的图片表示(完整的)标准OAuth 2.0资源所有者密码凭据流+附加令牌内省部分。啊,是的,我应该仔细阅读,谢谢!在接受你的回答之前,我再把这个问题留待一会儿。
+----------+
| Resource |
| Owner |
| |
+----------+
v
Resource Owner |
Password Credentials (A)
|
v
+-----------+
------------(G)-------- JSON -------------->| SPA / APP |
| -----(D)---- Access Token ----------<| |
| | +-----------+
| | v ^
| | Resource Owner | |
| | Password Credentials (B) (C) Access token
| | | |
^ V v ^
+---------+ +---------------+
| |>--(E)--- Token Introspection --->| |
| | | Authorization |
| REST | | Server |
| API |<--(F)----- Token Metadata ------<| |
| | | |
+---------+ +---------------+
Figure 5: Resource Owner Password Credentials Flow (modified)