我是一个天真的OAuth2,试图确保Rest服务。我们有一个环境,我们自己开发了Client和Server。客户端部署在Nginx服务器上,使用HTML,CSS和Javascript创建。在Javascript中,使用AJAX我们向REST WebService发出post请求。 REST部署在Tomcat服务器上。
它是一个Web应用程序,用户可以通过提供他的凭据(AJAX调用/登录webservice并获得响应)进行登录。现在,为了实现OAuth2,我阅读了它并发现客户端的类型决定了使用哪个OAuth授权。在这种情况下,客户端似乎是公共的,隐式授权类型或资源所有者密码凭据似乎是可接受的类型。我需要有关此方案选择的授权类型的建议。
此外,OAuth2在这种情况下的工作流程将会发挥作用。目前,当用户点击登录或注册时,REST服务会相应地执行。现在应该有一个服务在页面加载时调用并发出访问令牌或将其与登录服务合并。
答案 0 :(得分:1)
你必须使用http://www.baeldung.com/rest-api-spring-oauth2-angularjs之类的东西 您可以在场景中使用的唯一两种授权类型是隐式授权或密码授予,因为您无法安全地存储OAuth2" secret_code"还因为您是资源所有者和授权服务器所有者。