0
我是我公司的一名php开发人员,我很喜欢这种概念形式的Oauth。 我一直在网上搜索,几乎阅读了所有关于oAuth的文章,但仍然不知道如何处理这种情况。用于我的应用的最佳oauth授权类型
我住在荷兰,所以请原谅我,如果我的写作有时有点偏离。
我正在为我们公司的应用程序工作。它是一个在线工作平台,人们可以登录查找工作。
我们将我们的在线应用程序出售给提供工作等的公司。
因此,我们为每个购买我们网络应用程序的公司提供url:http://companyname.onlinejobs.com(例如)。 所以我们有后端用户可以在他们的应用程序中登录,他们每个人都有不同的角色和权限。
我们也有http://onlinejobs.com作为一个网站,每个人都可以注册查看工作oppertunities等等。 所以我们也有一个前端用户,也可以有多个角色,比如免费用户和高级用户。
我们已经构建了一个REST API,该API包含所有添加和查看作业和配置文件等的方法。我们希望此API仅对我们注册的客户端可访问。 所以如果我注册company1.onlinejobs.com比在我看来是一个客户端,只能使用我们的API。
但是现在我们想要将oAuth整合到情况中。 我们希望API免受任何未注册的客户端的影响,但我们也希望确保前端免费用户无法访问高级前端用户可以进行的某些API调用。
或者是基于权限的行为不是为了oAuth? oAuth2使用的许可类型可以用于我们的情况吗? 我真的需要一些帮助这个家伙..希望有人可以给我一个清楚的解释,什么使用最好的,或者甚至根本没有。
授权授予为客户端提供访问令牌(可能还有刷新令牌)。虽然肯定有很好的理由可以根据情况选择一种授权,但这与用户权限无关。您是否对授权用户(即资源所有者)授权客户感到困惑?考虑(重新)阅读http://tools.ietf.org/html/rfc6749上的规范。 – 2014-11-16 14:29:28