我正在构建的应用程序正在使用AuthorizationCode和Google OpenId的PKCE。用户身份验证后,应用程序将发送AccessToken以向后端服务器进行身份验证,并发送IdToken以检索用户的数据。
但如果我没有错的话,服务器还需要使用ClientCredentials流对自己进行身份验证,以便代表用户检索数据。
我应该如何在OAS3规范中指定它?
端点应该同时具有OpenID和OAuth2吗?
API DOCS
API规范(如Swagger(通常只关注API的调用客户端视图,而不关注内部实现细节:
- 只需指出API需要承载令牌,并且由OAuth 2.0保护
您的API可以在一段时间内支持多个客户端,使用不同的客户端流来获取令牌,例如:
- Real UI使用授权代码流(PKCE(
- 自动化测试可能使用更简单的方法,例如资源所有者密码授予
入门指南
如果您需要总结客户端身份验证流,我将把它放在一个单独的文档中,因为这不是API关心的问题。
在"入门"指南中为需要联系的人提供这种概述是很常见的。并涵盖令牌到期、错误响应、环境等方面。
我的方法
我总是提供以上两种文件。我可以向客户传达他们的需求,而不必过于依赖Swagger UI等工具,因为这些工具通常无法满足我们的需求。