1
私たちは、アカウントが単一のアカウント(会社)によって管理されるapp-1とapp-2 REST APIを開発しています。 jiraと合流アプリケーションのためのatlassianアカウントが必要なときに似たようなもの。第1党の集中アカウントアプリのROPCまたはクライアントの資格認可?
私は、/loginエンドポイントとどこにセッションを作成するのかをどこで混同しているのですか。私は確かに、セッションは、oauth2プロバイダ(認可+リソース)で将来的にサードパーティのoauth2クライアントを考慮して作成する必要があります。
ROPCで見ると、oauth2-clientには/loginがあり、資格情報を使用して承認サーバーにpassword grant_type要求を送信し、アクセストークンを作成してセッションにバインドします。セッションIDは、後続のリソースエンドポイント要求のためにUser-agentに返さなければなりません。 Client Credential Grant中に、/ loginとエンドポイントを持ち、userIDに直接sessionIDを発行する認証サーバーが表示されます。
アクセストークンはサーバー側に置く必要がありますか?
フォローアップの質問:https://stackoverflow.com/questions/40148613/ropc-and-oidc-for-rest-api-1st-and-3rd-party-clients
アクセストークンに関するタイルと最後の質問に対処しようとしましたが、エンドポイントの混乱に関しては、私も混乱していることを認めなければなりません。シナリオをより明確にしようとすることはできますか? –
@JoãoAngelo昨日、セッションをクライアント(oauth2)または承認サーバーで管理するかどうかについて、私はちょうどセッションを処理する方法について混乱しました。今私の結論は、あなたがアプリケーションを認証する前にアクティブなセッションを持つためにログインする必要があるときに、サードパーティアプリケーションの目的のためにid.atlassian.comのような小さなクライアントを持つ必要があるということです。したがって、セッション管理はoauth2クライアントで行われますか? –
複数のセッションが存在する場合があります.1つは、ログインしたことを追跡する認証/承認サーバーによって管理されますが、クライアントアプリケーションはセッションを維持できるため、常にユーザーを尋ねる必要はありません。最初の認証の後、クライアントはセッションを作成して認証サーバーへの要求の数を減らすことができます。 –