使用我自己的密碼進行OAuth 2.0授權

Question

我正在開發具有OAuth 2功能的應用程序。但我的情況很特殊。我只想使用我自己的帳戶登錄。讓我帶了Facebook作爲一個例子來解釋我的應用程序的流程：

1. 用戶啓動應用程序
2. 通常情況下的OAuth會要求用戶登錄到他/她自己的FB帳戶授權。但在我的應用程序中，我想登錄到我的FB帳戶。因爲我知道我自己的用戶名和密碼。這是一種悄悄地登錄我的帳戶的方法嗎？
3. 用戶可以發佈消息。在這種情況下，他們將張貼到我的FB賬戶。

這可能嗎？你有什麼建議嗎？謝謝

Answer 1

OAuth 2.0允許這種類型的流，如所謂的資源所有者密碼憑證（ROPC）授權中所定義。然而，這種流程不太受歡迎，並且僅僅是因爲它違背了OAuth的主要目標，即不必在客戶端輸入最終用戶憑證，因此不太適合向後兼容。

FB不支持ROPC授權，因此您必須通過常規的授權碼流程。通過初始流程獲得refresh_token後，您可以使用該憑證作爲長期生存的憑證，以與使用FB用戶名/密碼相同的方式獲取新的訪問令牌。