Oauth 2.0プロトコルを実装する必要があります。 ワークフロー全体が私にとってはっきりしているかどうかを知りたいだけです。何か誤解があった場合は、私を助けてください。 これは私が理解するものである:Oauth 2.0の説明grant_type、client_id e client_secret
ユーザー、私のクライアントアプリは私のシステムにログインする必要があります使用して。彼は の電子メールとパスワードをサーバーに提出します(できれば、Tomcatの サーブレット)。このサーブレットは彼の資格情報を検証するので、彼のgrant_typeは 、私の場合は「パスワード」タイプ(または 資格情報1)です。 [最初の質問:リソースオーナーは もCLIENT_IDとCLIENT_SECRETをユーザーに発行しますか?もしそうなら、私はどうすれば それらを生成する必要がありますか?そうでない場合は、誰がユーザーにこれらのことを伝えますか?アプリを使用するすべてのユーザーに CLIENT_IDは同じですか?セコンドのQUESTION: grant_typeは(意味:「パスワード」または「資格証明書」または「暗黙の」)助成金 の種類を示し単なる文字列である]今
ユーザーがgrant_typeを獲得し、 を検証していること?彼はaccess_tokenとrefresh_tokenが必要です。彼は authentication_server(token_endpointもラップする)にgrant_type、client_idおよびclient_secretを送信し、 は彼にaccess_tokenおよびrefresh_tokenを与えます。今ユーザは、 がresource_serverに何かを尋ねると、access_token とrefresh_tokenを提供します。 access_tokenが期限切れの場合、 resource_ownerはrefresh_tokenがまだ有効かどうかを確認し、 は別のaccess_tokenを生成します。 [第3の質問:なぜ refresh_tokenはとても役に立ちますか?途中の人が リクエストを盗んだ場合、彼はaccess_tokenとrefresh_token、 を取得します。そのため、access_tokenは期限切れになりますが、 refresh_tokenを使用して他の人を取得できますか? FOURTH QUESTION:ユーザーがsomethignをrequestinする場合は、必ずaccess_tokenはを を送信するために持っていない]誰にでも
おかげ?。良い一日を過ごしてください。 :D:D