【发布时间】:2023-03-13 07:05:02
【问题描述】:
我已经工作了几天来处理 OAuth2.0 服务器。我的问题是,我是否必须为连接到我的 oauth2.0 服务器的每个平台(android、ios)创建一个 oauth 客户端?因为现在,因为我正在测试,我使用邮递员传递了client_id和client_secret。无论如何,我使用了 client_credentials 授权类型。太感谢了。
【问题讨论】:
【发布时间】:2023-03-13 07:05:02
【问题描述】:
是的,OAuth2.0 规范指定您必须传递一些表单客户端凭据来告诉身份验证服务器您是合法的。
查看https://www.rfc-editor.org/rfc/rfc6749#section-2.3
所以目的是,
- 只有有效的客户端才能与认证服务器通信
- 您可以根据客户端类型(机密或公开)自定义访问权限,并验证访问令牌是否颁发给有效客户端之一。
- 当您的客户端凭据暴露时,身份验证服务器可以轻松禁用指定的 oauth 客户端,而不会阻止您的其他应用程序
【讨论】:
-
所以我将在每个平台上使用 OAuth2.0 客户端库来连接到我的 OAuth2.0 服务器。非常感谢,我现在很明白了。
-
我可以只使用 curl 连接到我的 oauth2.0 服务器吗?它会像使用 oauth2.0 客户端一样得到保护吗?谢谢!
-
即使对于 curl 我相信您需要发送 oauth 客户端信息以供服务器识别。
-
我指的是 oauth2 客户端库。我在问这个客户端库是否必须连接到我的 oauth2 服务器。我不是指客户信息。在 oauth2.net/2/ 他们提供了 oauth 服务器和客户端库,所以我想知道我是否必须在 php 中使用 Curl 而不是使用 oauth2 客户端库。
-
哦好吧,没必要,只是网络调用,任何网络工具或内置库都可以用来发出网络请求并得到响应