将快速注册集成到使用Spring Boot的现有API中使用OAuth2

Question

我有一个基于Web的API，我正在构建Spring Boot中构建的API并使用OAuth2。该API适用于移动应用程序。

作为移动应用程序登录的一部分，登录选项之一是使用您的Twitter/Facebook帐户。

我最初的想法是让APP通过Facebook/Twitter认证用户，然后将令牌传递给API。然后，API将使用Facebook/Twitter验证令牌，收集FB/Twitter ID并使用该ID创建新帐户。但是，这种方法的问题是，我不确定如何使用现有的OAuth库创建持票人令牌，因为OAuth库在标准登录（用户名/密码）期间处理所有这些。

另一种选择是让APP通过Facebook/Twitter对用户进行身份验证，然后使用用户FB/Twitter ID作为用户名，通过API将用户注册为正常用户，但这种“感觉”方式不太安全，但整合更容易。

当时，认证令牌由OAuth库存储在MySQL数据库表'oauth_access_token'中。我想我可以手动创建JWT并自己更新此表。

我接受任何有用的建议。

Answer 1

这可能是一个更简单的解决方案，我最初在我的问题中提出的解决方案。

1）移动应用使用Facebook/Twitter验证用户身份，并接收回令牌。

2）移动应用程序向我的API [/用户/快速登录]发送请求，传递终端用户Facebook或Twitter令牌。

3）API使用Facebook/Twitter令牌从Facebook/Twitter获取用户详细信息。一旦拥有用户社交媒体ID，我们就可以使用该ID在数据库中搜索用户。如果不存在，请使用Facebook/Twitter返回的信息创建用户。对于用户密码，我们将使用只有服务器知道的密钥来加密用户的Facebook/Twitter ID。密码在被存储在数据库中之前再次被加密，因为我们的所有密码都是。这确保了用户密码不仅仅是他们的Facebook/Twitter ID，因为那样会太不安全。

4）我们的API使用电子邮件地址作为他们的用户名，因为我们现在知道用户的电子邮件地址，并且我们知道密码是Facebook/Twitter ID的加密版本，所以我们可以向我们自己的OAuth服务器[/ oauth/token]传递用户名/密码，然后我们简单地将该响应返回给移动应用程序。

对我来说，这似乎是最合乎逻辑的做法，尤其是因为OAuth服务器总有可能在它自己的硬件实例上运行，并且'可能'无法直接从我们的API访问它的类。