Я создаю приложение для телефона. Процесс авторизации должен быть следующим образом. Когда пользователь не войдет в систему, ему будет предложено ввести номер телефона (например, в WatsApp, Viber и т. Д.), А после того, как он войдет в номер телефона, SMS-сообщение будет отправлено пользователю с 8-значным кодом подтверждения. Когда пользователь вводит код, для него создается токен доступа OAuth2 и токен обновления, и 8-битный код подтверждения удаляется из базы данных. Если пользователь выходит из системы, ему необходимо снова выполнить тот же процесс.Создание пользовательского OAuth2 Grant Type
Я хочу использовать метод авторизации пароля, так как я являюсь владельцем ресурса. Однако, поскольку у меня нет пароля во время процесса аутентификации, я действительно не знаю, с какими параметрами нужно создать токен для него. Хорошей практикой является создание нового типа предоставления oauth2 - назовите его «confirm_code», и его параметрами будут client_id, client_secret, username и confirm_code?
Я должен был упомянуть проблему с этим (я думал об этом). Есть одна небольшая проблема с этим. У меня также есть веб-интерфейс, который принимает пароли. Поскольку большинство операций происходит по телефону, все имена пользователей являются номерами телефонов, однако некоторым может не хватать пароль, и если пользователь открывает веб-интерфейс для его использования, другие sms будут отправлять «сброс пароля» на номер телефона и как только пользователь вводит код, он сможет создать новый пароль и войти через веб-интерфейс. – Gasim
@Gasim Возможно, я что-то пропустил, но я не понимаю, как это проблема. Вы можете объяснить? –
Я имею в виду, потому что у вас может быть отдельный пароль, который он может использовать в веб-интерфейсе, однако при использовании телефона ... так что код подтверждения и авторизация пароля будут перекрываться. Действительно ли можно создать собственный метод авторизации? Безопасность разумна тем же, потому что он использует все одинаково, за исключением чтения кода и чтения пароля - разных таблиц. Мой вопрос в том, что в целом идет со стандартами ... Соответствуют ли стандарты пользовательским типам грантов? – Gasim