2013-04-04 66 views
0

我期待建立一個客戶端到我的基於RESTful超媒體的API和審查了許多選項後,學習oAuth *成爲德事實上的方法來授權訪問API。什麼是正確的流程當使用oAuth與資源所有者密碼s證書格蘭特

我想我是理解oauth的總體概念,即根據客戶端(可信與否)規範提供了幾個流程,以便從資源所有者(用戶)角度「信任」客戶端(應用程序)授予客戶訪問權限。

因爲我正在構建的應用程序直接屬於服務生態系統的一部分,所以它將歸於受信任的客戶端部分,因此我決定實施資源所有者密碼的憑證授予,但這裏是我的知識得到的條款和準確的角色攪渾的OAuth是有提供與我的大腦關閉:)

我想這是流量(多用一些技術的想法):

  1. 通過登錄表單資源所有者提供憑據
  2. 細節提出到服務器(在這種情況下express.js應用程序),如果用戶不存在
  3. 通過一些當地的機制,應用程序驗證對商店
  4. 用戶憑據或失敗,則驗證他們返回到登錄
  5. 如果用戶確實存在,並且不通過驗證的機制,以交換他們的憑據令牌啓動(接觸的OAuth服務器和交換的細節)的某處存儲加密/散列的Infor(Redis的可能?)
  6. 一旦返回的標記它存儲在也許對於持久化到客戶端的會話(我認爲trello.com做類似的事情,因爲他們有一個標記餅乾,但我可能是大錯)

這是一個可接受的流量?我似乎無法找到任何的例子可以作爲一個唯一的開發商目前將是很好的得到一些反饋。

回答

0

無需最終確定自己的流動,這簡直是我們交換的用戶憑據的OAuth憑證受信任的客戶資源所有者密碼格蘭特。

相關問題