OAuth2用戶密碼授予與節點JS

Question

我設計一個Web應用程序，主要分爲以下兩個部分

1. 網站（UI）：節點JS Express應用程序將被託管的www.mysite.com
2. REST API：業務邏輯（Atuhentiation，授權，業務邏輯），將被託管，例如api.mysite.com

我要實現的的OAuth2這個應用程序的一些不同的領域。我通過OAuth2閱讀並瞭解它是多種流程，並且基於我的理解，我得出結論：「資源所有者密碼憑證」流是一種方式，因爲客戶端和服務都屬於我，用戶也將直接向我的應用程序註冊並且因此他們會提供用戶名和密碼。

我對「資源所有者密碼憑據」流進行了大量研究，但是這種流程很少被討論和記錄。我幾乎不知道如何在應用程序中實現這個流程。我正在開發節點JS中的Website和Rest API。 請指導我如何執行此操作？任何演示，文檔都會有所幫助。

在此先感謝！

Answer 1

你說得對。它的記錄很少，再加上它經常被錯誤地解釋錯誤。 該流程的大部分解釋並未指出，該流程有兩種不同的情況。

如果您有SPA或類似的開放應用程序，您不希望擁有客戶端ID，也不希望客戶端使用ROPC流程保密。因爲，每個人都可以閱讀它。另外，它在RFC中不是必需的。

您的情況是關於沒有代表團的雙腿oauth。

下面是關於如何確保ROPC流動一篇很好的文章： http://andyfiedler.com/2014/09/how-secure-is-the-oauth2-resource-owner-password-credential-flow-for-single-page-apps

希望幫助，我現在用相同的問題而大傷腦筋。