我尝试使用OAuth 2来创建受保护的API。除此之外,我希望网站上的所有用户都需要access token才能访问API。
原因是我的API将向公众公开,但我不希望公众访问此API。我的应用程序通过Ajax请求对我的API进行了大量调用。
无论如何,例如,在我的应用程序中,如果用户点击另一个用户个人资料,它将发出ajax请求:
example.com/api/user/id
这将返回有关用户的json数据。
但是,我希望它们受到保护,因此需要access token - 即使是注册用户 - 也可以查看它们。
SoundCloud正在做我想要实现的目标。每个用户都使用OAuth令牌进行身份验证。
1. Login to SoundCloud
2. Issue an OAuth token to the logged in user
3. Use this token to make API requests
我确定有很多网站正在这样做,但我无法找到一个特定的教程来整理这种类型的model,因为我认为这是一个受欢迎的模型实施在许多网站上。
这种模式叫什么?
答案 0 :(得分:1)
听起来你指的是" Client-side JavaScript applications"在SoundCloud API文档中。如果是这样,可能流程是"隐含流"。见" 1.3.2. Implicit"和" 4.2. Implicit Grant"在RFC 6749(OAuth 2.0)。
答案 1 :(得分:0)
您描述的模式没有名称。在OAuth 2.0中,用户有不同的流程授予第三方访问其受保护资源的权限(称为授权类型),但您在上面描述的内容没有名称。