我想问这个问题,因为我不确定我是否完全了解整个OAuth2流程:
场景是您有一个应用程序,并希望为该应用程序内的新用户进行注册。从用户角度来看,在创建帐户后重新登录将是愚蠢的。
我的想法是直接使用“密码流”而不是仅提交密码,提交整个用户注册数据。但对我来说似乎有点痒,所以你对此有何看法?
答案 0 :(得分:-1)
OAuth 2.0是允许第三方应用程序访问最终用户的流程。在其他服务托管的资源。
在您的方案中,"客户端应用程序接受新用户的ID和密码"和#34;管理用户注册信息的服务"归你所有。在这种情况下,您不必参考OAuth 2.0规范。而是根据需要实现您的客户端应用程序和Web服务。如果客户端应用程序不是您的,则不应允许客户端应用程序直接接受用户的ID和密码。
将来考虑允许第三方应用程序访问您的服务时,您需要阅读OAuth 2.0规范。