我正在构建一个将由OAuth2保护的应用程序。我期望的用户类型如下:
- 基于非机密浏览器的 Java 脚本客户端。(我的 Angular 客户端应用程序(
- 非机密本机应用客户端。(我的 iOS/安卓客户端应用程序(
- 基于第三方非机密浏览器的 Java 脚本客户端。(在浏览器上运行的任何第三方JS应用程序(
- 第三方非机密本机应用程序客户端。(任何第三方iOS/安卓客户端应用程序(
我的问题:
- 是否有一种工作流/授权类型适用于我上述所有 4 个用例?
- 如果没有,我应该考虑实施哪些工作流以涵盖上述所有 4 种方案?
授权代码授权类型可以涵盖您提到的所有用例。即使对于非机密的第三方JS应用程序,尽管隐式授权是为该用例设计的,但当前的建议似乎指向授权代码授权类型的方向。