Ich bin ein naive OAuth2, der versucht, Restdienste zu sichern. Wir haben eine Umgebung, in der wir Client und Server selbst entwickelt haben. Der Client wird auf dem Nginx-Server bereitgestellt und mit HTML, CSS und Javascript erstellt. In Javascript verwenden wir AJAX, um Anfragen an REST WebService zu stellen. REST wird auf dem Tomcat-Server bereitgestellt.Benötigen Sie Hilfe beim Verstehen des OAuth2-Workflows und bei der Auswahl von Erteilungsart
Es handelt sich um eine Webanwendung, bei der sich der Benutzer anmelden kann, indem er seine Anmeldeinformationen eingibt (AJAX ruft/login Webservice an und erhält eine Antwort). Nun, um OAuth2 zu implementieren, habe ich darüber gelesen und festgestellt, dass der Typ des Clients bestimmt, welche OAuth-Berechtigung verwendet werden soll. In diesem Szenario scheint der Client öffentlich zu sein, und implizite Gewährungsart oder Kennwort für Ressourceneigner-Anmeldeinformationen scheint ein akzeptabler Typ zu sein. Ich benötige Vorschläge zum Grant-Typ für dieses Szenario.
Auch, was wäre der Workflow von OAuth2 in diesem Szenario, wenn es ins Spiel kommen wird. Wenn ein Benutzer derzeit auf Login oder Registrierung klickt, wird ein REST-Service entsprechend ausgeführt. Jetzt sollte es einen Dienst geben, der beim Laden der Seite aufgerufen wird und ein Zugriffstoken ausgibt oder zusammen mit dem Login-Dienst zusammenführt.
Gekennzeichnet The OAuth 2.0 Authorization Framework
Ich denke, es wird "Resource Owner Password Credentials" und der Access-Token-Service sollte aufgerufen werden, wenn der Benutzer auf die Login-Schaltfläche klickt –