Web services 用于跨客户端身份验证的OAUTH2流

我似乎非常困惑，不知何故OAUTH2或它是更新的更严格的子集OpenID连接只是不点击我的脑袋

我的应用程序是一个没有Web UI的RESTFUL服务

多个客户端正在使用它（来自web和移动应用程序） 我的服务应该存储每个用户的数据

现在，我们希望允许客户端通过支持OAUTH2的公共提供商（如facebook、google等）进行身份验证

他们应该能够在他们的应用程序中处理身份验证，只需给我的服务一个身份令牌，我可以在“确定这是一个由有效授权机构签名的有效用户令牌”中进行验证，并可以使用该令牌将我方的用户数据与之关联。（当然，稍后再返回给客户）

如何使用OAUTH2实现这一点？使用哪个流

身份令牌是OIDC（OpenID连接）的东西，OAuth2是关于授权的。验证（认证）最终用户身份是OIDC的主要目标

在您的用例中：通常在最终用户通过OP（主要使用隐式流）身份验证之后，客户端/RP（中继方）将接收标识令牌和访问令牌，标识令牌用于客户端，访问令牌是用于请求受保护REST API的令牌

示例：

setRequestHeader（“授权”、“承载人”+令牌）

现在使用RESTAPI，将收到的承载/访问令牌（通常为JWT格式）发送到OP，如果其有效，则应用权限/过滤逻辑

也许这将帮助您了解每个流的用例

希望它能回答你的问题