【发布时间】:2015-12-25 14:51:18
【问题描述】:
我想做什么?
我正在尝试为在线预订航班构建 api,以便其他旅行社可以使用该 api。它具有搜索航班,显示搜索结果,预订航班和在线支付的功能。因此,我计划使用oAuth进行授权。当用户访问旅行社网站时,他们可以搜索,预订航班并可以付款。在这里,他们无需验证搜索航班和预订,而是通过第三方完成付款。我想做的是,当用户使用 api 时,他们不需要身份验证,但我们应该授权用户是否来自有效站点,所以我使用oauth grant type client credentials
我做了什么?
我正在尝试将 laravel 包 lucadegasperi/oauth2-server-laravel 用于 oauth。我已经成功地在我的项目上安装了这个包,并根据这里https://github.com/lucadegasperi/oauth2-server-laravel/wiki提供的信息完成了配置。我已经测试过使用 chrome 扩展 postman 获取访问令牌。
我对什么感到困惑?
如果我在客户端共享 client_id 和 client_secret ,那么任何其他用户都可以使用该客户端 ID 和客户端密码并使用我们的 api 。如何在用户提交搜索按钮后生成访问令牌并将该令牌用于显示搜索结果、预订等其他流程。
所以,我的问题是
我是否使用权限授予类型进行授权?如果不是,那将 适合这个吗?
如何使用 client_id 和 client_secret 以便我们可以授权 网站安全吗?
【问题讨论】:
标签: php api laravel oauth oauth-2.0