OAuth2用户密码授予与节点JS

Question

我设计一个Web应用程序，主要分为以下两个部分

1. 网站（UI）：节点JS Express应用程序将被托管的www.mysite.com
2. REST API：业务逻辑（Atuhentiation，授权，业务逻辑），将被托管，例如api.mysite.com

我要实现的的OAuth2这个应用程序的一些不同的领域。我通过OAuth2阅读并了解它是多种流程，并且基于我的理解，我得出结论：“资源所有者密码凭证”流是一种方式，因为客户端和服务都属于我，用户也将直接向我的应用程序注册并且因此他们会提供用户名和密码。

我对“资源所有者密码凭据”流进行了大量研究，但是这种流程很少被讨论和记录。我几乎不知道如何在应用程序中实现这个流程。我正在开发节点JS中的Website和Rest API。 请指导我如何执行此操作？任何演示，文档都会有所帮助。

在此先感谢！

Answer 1

你说得对。它的记录很少，再加上它经常被错误地解释错误。 该流程的大部分解释并未指出，该流程有两种不同的情况。

如果您有SPA或类似的开放应用程序，您不希望拥有客户端ID，也不希望客户端使用ROPC流程保密。因为，每个人都可以阅读它。另外，它在RFC中不是必需的。

您的情况是关于没有代表团的双腿oauth。

下面是关于如何确保ROPC流动一篇很好的文章： http://andyfiedler.com/2014/09/how-secure-is-the-oauth2-resource-owner-password-credential-flow-for-single-page-apps

希望帮助，我现在用相同的问题而大伤脑筋。