使用 OAuth 和移动客户端应用程序时,是否需要保留会话?



我是OAuth和不同身份验证机制的新手,有些概念有点弱(我来自移动世界,而不是来自网络世界(。对不起,假问题。

我想创建一个移动应用程序和一个后端,它将向移动应用程序公开 REST API。 若要授权应用代表用户访问 REST API,我将使用 OAuth 流,因此最后,我的应用将使用访问令牌来访问 BE 资源。

从我的POV来看,这足以实现我的所有目标:

  • 移动应用调用终结点https://example.com/user
  • BE 使用访问令牌接收请求
  • BE 调用 OAuth 侦测端点以了解访问令牌属于哪个用户。
  • BE 端点将用户数据返回到移动应用

对我来说,这似乎没问题,但我看到有些人将此机制与 cookie 相结合,以进一步识别使用会话的用户。

我的使用案例是否需要会话?它有什么好处?

从我的 POV 会话可能仅在拥有基于浏览器的应用程序时才有用。基于浏览器的应用程序是否同时使用访问令牌和会话?还是会话映射到服务器端的访问令牌?

谢谢!

默认情况下,OAuth 中没有 Cookie 或会话(除非您使用的是服务器端 Web 应用程序(。 作为第一步,我会保持上述内容 - 这看起来非常标准。不过,将会话建模到 API 接口中可能会很有用。这将允许后端区分运行 2 个 UI 实例的用户 - 并了解哪些 API 请求来自哪个 UI 实例。访问令牌并不能完全提供此功能 - 因为访问令牌会在一段时间后刷新。

相关内容

  • 没有找到相关文章

最新更新