摘要:
# 从0开始构建一个Oauth2Server服务 6 ## 移动和本机应用程序 与单页应用程序一样,移动应用程序也无法维护客户机密。因此,移动应用程序还必须使用不需要客户端密码的 OAuth 流程。当前的最佳做法是将授权流程与 PKCE 一起使用,同时启动外部浏览器,以确保本机应用程序无法修改浏览器 阅读全文
摘要:
# 从0开始构建一个Oauth2Server服务 7 ## 发起认证请求 无论您使用哪种授权类型或是否使用客户端密码,您现在都拥有一个可与 API 一起使用的 OAuth 2.0 Bearer Token。 `Authorization`访问令牌在以文本为前缀的HTTP 标头中发送到服务`Beare 阅读全文
摘要:
# 从0开始构建一个Oauth2Server服务 8 ## 注册应用程序 当开发人员访问您的网站时,他们将需要一种方法来创建新的应用程序并获取凭据。通常,在他们可以创建应用程序之前,您会让他们创建一个开发者帐户,或代表他们的组织创建一个帐户。 虽然 OAuth 2.0 规范不要求您在授予凭据之前收集 阅读全文
摘要:
# 从0开始构建一个Oauth2Server服务 9 ## ClientID 与 Secret ### ClientID 此时,您已经构建了应用程序注册屏幕,您已准备好让开发人员注册应用程序。当开发人员注册应用程序时,您需要生成一个客户端 ID 和一个可选的密钥。生成这些字符串时,在安全性和美观性方 阅读全文
摘要:
# 从0开始构建一个Oauth2Server服务 10 ## 删除应用程序和撤销Secrets 开发人员将需要一种方法来删除(或至少停用)他们的应用程序。为开发人员提供一种方法来为他们的应用程序撤销和生成新的客户端密码也是一个好主意。 ### 删除应用程序 当开发者删除应用时,服务应告知开发者删除应 阅读全文
摘要:
# 从0开始构建一个Oauth2Server服务 11 ## 授权 Authorization 授权界面是用户在授予应用程序访问其帐户时看到的屏幕。以下部分介绍了如何构建授权屏幕、界面中包含哪些组件以及如何最好地向最终用户展示界面。 实施 OAuth 服务器时,您正在使开发人员社区能够构建利用您的平 阅读全文