1
У меня возникают проблемы с переносом потока клиентских учетных данных на стороне клиента. Скажем, клиент запрашивает безопасную конечную точку в API без разрешения. API ответит на 401, и это все? Насколько я понимаю, клиент-учетный поток не должен требовать какого-либо взаимодействия с пользователем, я прав? В частности, клиенту не нужно нажимать, например, кнопку «Авторизовать клиента» перед тем, как посещать любую страницу, которая обращается к защищенным ресурсам?Обработка потока учетных данных клиента OAuth2
Что меня беспокоит 1) Что инициирует вызов конечной точки/токена? 2) При возврате с конечной точки маркера пользователь должен перейти на запрошенную страницу снова Или я просто не думаю об этом правильно? – JonasFromell
1) клиентское приложение делает HTTP-запрос конечной точкой маркера. Ответ будет содержать токен. 2) пользователю не нужно перемещаться в любом месте. Поток учетных данных клиента относится к «клиенту» (то есть к приложению ... не к пользователю). При потоке учетных данных клиента токен неразличим между пользователями системы. Тот же токен будет использоваться для любого количества пользователей в системе, так как это «клиент», который разрешен ... не пользователь. – sdoxsee
Я понимаю, позвольте мне попытаться объяснить это лучше. Мой клиент - это веб-страница. Домашняя страница («/») вообще не взаимодействует с API. Поэтому запросы, требующие токена, не используются. Таким образом, маркер еще не получен. Затем пользователь переходит к другой странице («/ products»), которая использует API для получения всех продуктов. Запрос API будет терпеть неудачу, поскольку у меня еще нет токена и просто верните ответ JSON с ошибкой (401). Это нужно как-то обработать, но я не понимаю, что здесь – JonasFromell