Мне нужно реализовать протокол Oauth 2.0. Я просто хочу знать, понятен ли мне весь рабочий процесс, и если бы я неправильно понял что-то, я бы хотел, чтобы вы мне помогли. Это то, что я понял:Oauth 2.0 разъяснения о grant_type, client_id e client_secret
пользователь, используя мой клиент приложение имеет войти в мою систему. Он отправляет адрес электронной почты и пароль (предварительно зарегистрированный) на сервер (возможно, серфинг 3 на Tomcat). Этот сервлет проверяет свои учетные данные, поэтому дает ему тип grant_type, который в моем случае является типом «пароль» (или учетных данных один?). [FIRST QUESTION: владелец ресурса выдает также CLIENT_ID и CLIENT_SECRET пользователю? Если да, то каким образом я должен создать ? Если не так, кто дает эти вещи пользователю? Является ли CLIENT_ID одинаковым для каждого пользователя, использующего мое приложение? SECONDO ВОПРОС: grant_type это просто строка, которая показывает тип гранта (что означает: «пароль» или «учетные данные» или «неявное»)]
Теперь, когда пользователь приобрел grant_type и подтверждено ? учетных данных, ему нужен access_token и refresh_token. Он должен отправить grant_type, client_id и client_secret в authentication_server (который также обертывает token_endpoint), а дает ему access_token и refresh_token. Теперь пользователь, когда имеет , чтобы спросить что-то ресурс_сервер, предоставляет access_token и refresh_token. Если срок действия access_token истек, то ресурс_оценка проверяет, действительно ли refresh_token действителен, а генерирует еще один access_token. [ТРЕТИЙ ВОПРОС: почему полезен refresh_token? Если человек в середине украл запрос , он получит access_token, а также refresh_token, , так что, хотя срок действия access_token истечет, он может получить других, используя refresh_token, не так ли? ЧЕТВЕРТЫЙ ВОПРОС: делает пользователь должен отправить ВСЕГДА access_token когда requestin somethign]
Спасибо всем. Хорошего дня. : D: D