我目前正在深入研究OAuth规范,我发现它涉及4个角色:服务器,资源所有者,API服务器和用户。
我现在的问题是我们客户端(资源所有者)如何在没有用户用户名和密码的情况下访问 API?
API 服务器可以使用授权标头中的安全令牌(持有者)访问。此类令牌将由权威服务器交换为用户名和密码,并将在一段时间内有效(由权威服务器定义)。虽然此令牌有效,但它可用于访问 API。
一些介绍:http://www.slideshare.net/aaronpk/an-introduction-to-oauth2