无密码生成WSO2令牌

我们需要在不使用用户密码的情况下生成访问令牌。可以提供用户电子邮件、客户id和密码。这将在特定客户端内部使用

满足这一要求的最佳方式是什么。应该在密码授予处理程序中更改实现，或者可以有一些实现。如果实现了自定义授权类型，我们不希望它在开放id配置中公开

---

WSO2是v5.10.0

accesstoken的主要用途是代表用户提供用户资源的授权。这就是为什么WSO2会提示登录页面对用户进行身份验证并获得用户的同意。当应用程序代表用户获取accesstoken时，应该使用某种机制对用户进行身份验证，并且应该知道它、提供的范围、请求的声明等

当应用程序请求访问令牌以访问其自己的资源（而不是代表用户）时，将使用客户端凭据授予。如果您不想访问用户的资源（用户的API），那么可以使用客户端凭据授予类型

---

例如，如果您想访问用户的资源，但不想让他们输入密码，或者不想使用IS的默认身份验证，那么您可以使用社交登录（例如：google、facebook）并使用这些联合身份验证程序登录。在这种情况下，不会明确提示用户输入登录页面的密码。然后将通过谷歌或facebook登录

如果不需要将此令牌绑定到特定用户，则可以使用客户端凭据授予类型（）@inthirakumaran我需要为特定用户生成访问令牌。我需要为用户授权生成访问令牌，以便客户端凭据对我的用例没有用。自定义OAuth2授权类型是否不适用于此用例？仅基于用户名生成访问令牌是不安全的。虽然使用自定义授权类型是可以实现的，但这不符合authentication@Inthirakumaaran该用户实际上在外部Idp中获得了身份验证，该Idp返回授权代码，我们使用该代码生成该外部系统的访问令牌&我们还想生成WSO2 IS令牌，但目前还没有用户密码因此计划使用此自定义授予类型的阶段。我们可以在WSO2 IS中添加一个IDP，该IDP可以配置为联邦身份验证器，它将对用户进行身份验证并提供WSO2_IS令牌，但我们还希望保留外部系统的访问令牌。如果您建议，也可以使用任何其他解决方案。IS提供的Accesstoken不能用于访问受联合IDP的resourcesRight@PiraveenaParalogarajah保护的资源！我们希望访问两种类型的资源，一种是受联邦Idp保护的资源，另一种是受WSO2 Idp保护的资源（我们自己的API）。