我是一个天真的OAuth2,试图保护REST服务。我们有一个环境,我们自己开发客户端和服务器。客户端部署在使用HTML,CSS和Javascript创建的Nginx服务器上。在Javascript中,使用AJAX,我们向REST WebService发送请求。 REST部署在Tomcat服务器上。需要帮助理解的OAuth2流程,并选择交付式
它是一种网络应用程序,其中用户可以通过提供他的证书登录(AJAX调用/登录web服务,并得到响应)。现在,为了实现OAuth2,我阅读了它并发现客户端的类型决定使用哪个OAuth授权。在这种情况下,客户端似乎是公开的,隐式授予类型或资源所有者密码凭据似乎是可接受的类型。我需要关于授予类型的建议以供此场景选择。
而且,这将是OAuth2用户的工作流程在这种情况下,什么时候会开始发挥作用。目前,当用户点击登录或注册REST服务时,相应地执行。现在应该有一个服务在页面加载时被调用,并发出访问令牌或将其与登录服务一起合并。
简称The OAuth 2.0 Authorization Framework
我认为,当用户点击登录按钮 –