oauth - Aouth 2.0 谁来管理 2 认证类型?
问题描述
有订餐系统。大约有 12 或 13 个 API。
最终用户无需登录系统即可搜索餐馆、食物、过滤物品等。只有在下订单、查看过去的订单等时才需要登录。因此,对于 10 个 API,我不需要用户登录。
10个API(需第三方验证)
其余(需要验证第三方以及用户)
到目前为止,我看到的 oAuth 2.0 解决方案会立即要求用户登录,这是我不想要的。
如果有人花时间解释一个可能的解决方案以及所有这些如何组合在一起,那对我来说真的很有帮助。
解决方案
如果不需要身份验证,则信息是“公开的”,不需要 OAuth 2.0 的保护。
WEB 应用程序调用 API 的情况并不少见,其中 WEB 应用程序需要使用 OAuth 2.0 来访问 API,但最终用户与 API 无关。因此 WEB 应用程序需要一个 OAuth 2.0 client_id 来访问 API。客户端凭据授予是为此用例设计的:(RFC 6749 第 1.3.4 节)
当授权范围仅限于客户端控制下的受保护资源时......当客户端代表自己行事时
然后,WEB 应用程序可能会在某些时候使用 OpenID Connect 来验证最终用户是否可以访问某些“受保护资源”。
推荐阅读
- scala - 如何从子列表中提取元素?
- python - 提供的绑定数量不正确。当前语句使用 1,提供了 5 个
- angular - 仅当表单有效时,角度表单才获取字段值
- java - 将我的自定义外部登录与 spring boot oauth2(授权授予类型)一起使用?
- javascript - 尝试关闭并打开命令 quick.db
- twilio - Twilio - 如果我们有用户凭据,如何将用户直接导航到流编辑页面
- c# - 带有数字的希伯来字符串 concat 导致顺序错误
- php - 如何使用php rand fucuction生成2组匹配的数据
- python - 如何使用单个表单更新多个模型
- web-services - 在 Flutter 的 SOAP 请求中传递字符串列表