我应该使用哪种OAuth2流/授权类型？

Question

我正在构建一个完整的堆栈应用程序。前端将是SPA，后端部分将成为跨多个资源服务器的statelss restful API。另外，我想分开身份验证和授权作为微服务，并考虑使用OAuth2作为协议。

目标流将类似于SPA用户将向身份验证服务提交ID /密码，OAuth2服务器将使用访问令牌进行响应。在后续资源请求中，SPA将与访问令牌一起提交给资源服务器，然后资源服务器将要求auth服务器验证令牌。

我的问题是，OAuth2是否符合上述情况，如果是这种情况，我应该使用哪种OAuth2授权类型/流程？

Answer 1

授权代码授权类型应该适合您 - 这通常是如何工作的：

1. 用户通过浏览器加载SPA
2. 用户按下登录并重定向到Auth Server登录页面
3. 用户输入他的用户名和密码
4. Auth Server使用授权码
重定向回SPA
5. SPA的后端调用Auth Server并为其提供授权代码。如果有效，Auth服务器将返回访问令牌。
6. 访问令牌与用户的会话绑定，用户已成功登录。
7. 每次调用资源服务器时，都会提供访问令牌并使用Auth服务器进行检查。