我正在为学习管理系统创建一个REST灵感的API。它将公开用户,类,等级,课程等数据。我已经定义了所有我想公开的资源,给出了每个端点的URL,并定义了返回的JSON资源结构。了解Oauth2
我现在想了解如何使用Oauth2来保护API(我不想使用Oauth1)。我是否正确地假设我的API将扮演资源服务器的授权服务器&的一部分?另外,我应该研究什么样的授权类型/流程?
很多教程似乎都侧重于使用Oauth2登录使用Facebook的凭据等 - 但我只是想用它来保护我的API,并允许我的用户访问我的API(通过客户端或直接) 。 API的访问权限应该遵循已经在我们的系统中处理的个人用户访问权限。
对不起散落枪问题 - 我只是不明白oauth2足以知道在哪里指导我的研究。任何帮助将不胜感激,任何指向正确用例的简单教程的指针都会很棒。
仅供参考 - 该系统是建立在使用Drupal 6(旧的,我知道)的LAMP堆栈上。
这是假设正确吗?对于每个新用户,都会生成一个新的client_id和secret。然后,这个client_id将被授予范围权限。 – 2017-07-09 17:35:41