我们的应用程序已经是委托给多个授权服务器的客户端。重点是我们有用户帐户,但我们不存储任何凭证。我们的用户来自Facebook/Google /等认证,并且他们的本地帐户是自动创建的。我的OAuth2客户端是否也可以发出自己的访问令牌?
现在,随着此应用程序的发展,其他应用程序希望与我们的API集成,因此我们希望提供我们自己的OAuth2端点。我们正在实施一个全面的OAuth2服务器,将委托给Facebook/Google/whatnot的部分保存下来,否则就像普通服务器一样工作(释放我们自己的访问令牌,刷新令牌等)。这是预期的事情吗?在这个用例的特定标准中是否有任何内容?
是的,我们这样做,直到第三方开始要求使用我们的API集成他们的系统。这就要求我们走得更远,成为一名OAuth提供商。 –
祝你好运!开始有一些体面的产品用于构建(例如,如果您使用的是.Net,则使用ThinkTexture IdentityServer) –