我们正在实现通用REST客户端,其中我们希望支持O' Auth 2.0。目前,我们正在考虑允许用户在配置客户端时定义访问令牌(无论他们从哪里购买),REST客户端在发出请求时将使用哪个。
是可能的吗?我有几个问题
- 客户端从授权服务器获取访问令牌的方式是否标准?
- 是客户端注册与认证服务器,而请求access_token和不能相同的访问令牌被其他客户端使用? SSL还是TSL是强制的?
- 是客户端向资源服务器发送访问令牌的方式(同时使资源请求)成为标准,所有资源提供商(facebook, linkedin, salesforce, google)是否支持在HTTP头或查询参数中发送access_token ?
- 向资源服务器发送访问令牌是标准化的,即我们不需要加密或使用任何第三方库。
我建议您阅读此处的规范。每个库实现都使用这个标准,你可以使用任何方法来生成你的密钥和授权等,但如果你遵守这些接口,那么你应该没问题。