2016-03-20 32 views
0

Oauth 2.0 protokolünü kullanmam gerekiyor. Sadece tüm iş akışının benim için net olup olmadığını bilmek istiyorum ve eğer bir şeyi yanlış anlamış olsaydım bana yardım etmeni isterdim. Bu anladım budur:Oauth 2.0 grant_type, client_id e client_secret ile ilgili açıklamalar

  1. Bir kullanıcı, müvekkilim uygulaması benim sisteme giriş vardır kullanarak. Bir sunucuya e-postasını ve şifresini (önceden imzalanmış olarak) gönderir (Tomcat üzerinde bir sunucu uygulaması). Bu servlet onun kimlik bilgilerini doğrular, bu yüzden ona grant_type verir, benim durumumda "parola" türü (veya kimlik bilgileri bir?). [İLK SORU: kaynak kullanıcı da CLIENT_ID ve CLIENT_SECRET kullanıcıya verir mi? Öyleyse, bunları nasıl oluşturmalıyım? Öyle değilse, bu şeyleri kullanıcıya kim veriyor? Uygulamamı kullanan her kullanıcı için CLIENT_ID aynı mı? SECONDO SORU: grant_type (anlamı: "şifre" veya "kimlik" ya da "örtük") hibe türünü gösteren sadece bir dizedir] Şimdi

  2. kullanıcı grant_type kazandı ve valide olduğunu? kimlik bilgileri, bir access_token ve bir refresh_token gerekir. , grant_type, client_id ve client_secret öğelerini authentication_server'e (bu da token_endpoint'i de sarar) göndermelidir ve ona access_token ve refresh_token verir. Şimdi, kullanıcı, kaynak_vericiye bir şey sormak için olduğunda, access_token ve refresh_token sağlar. Access_token öğesinin süresi dolduysa, resource_owner, refresh_token öğesinin hala geçerli olup olmadığını kontrol eder ve başka bir access_token oluşturur. [ÜÇÜNCÜ SORU: refresh_token neden bu kadar kullanışlı? Ortadaki bir adam isteğini çaldıysa, access_token'i ve ayrıca refresh_token, 'u elde edecek olursa, access_token'in süresi sona erecek olsa da, 'u refresh_token kullanarak elde edebilirsiniz, değil mi? DÖRDÜNCÜ SORU: kullanıcı somethign requestin zaman DAİMA access_token göndermek zorundadır yapar] herkese

teşekkürler. İyi günler. : D: D

cevap