是的,
我现在已经读了很多关于oauth 2.0及其用例(流(的内容。
现在我得到了这两个场景:
-
用户登录到我们的客户端,然后使用他的id和pw,客户端进行api调用。
-
没有用户数据的外部系统想要访问服务器的web api。
如果我没有错的话,我建议使用for 2。"客户端凭据流"以及对于1。我会使用"隐式授权授予流"。
我有关于所选流量的信息,来自http://tutorials.jenkov.com/oauth2/authorization.html
那么,我的这个决定是对的,还是有我没有见过的更好的选择?
通常,当客户端(无论是您自己的web客户端还是第三方客户端(想要访问用户的数据时,他们必须通过使用流(authorization_code或隐式(中的任何一个来传递在授权期间获得的访问令牌
当第三方系统想要访问与用户无关或至少不敏感的数据时,您只需要某种方式来识别哪个客户端正在提出请求,它对验证、速率限制等有用。
所以客户端凭据流在您的情况下有效。