authentication - oauth2orize 与 API？

Question

我正在尝试将 oauth2 服务器与 API 集成在一起，但遇到了严重的问题。在示例中，使用了 3 种不同的策略(本地、基本、承载)；对此有解释吗？如何创建客户端 key 和 secret ？是否有用于用户简单登录的工作示例？

Answer 1

是的，你很头疼:)。实现策略并不容易，但这里是 token 服务器等的完整工作示例:

https://github.com/jaredhanson/oauth2orize

我花了几周的时间来理解它，而帮助很大的是理解 Oauth2 规范本身。有很多事件部件，简而言之如下:

用户联系服务提供商(即我的网络邮件)。

Webmail 提供 Facebook 身份验证、用户点击和用户被重定向到 fb.com 上的 FB 身份验证端点

FB 说，嘿，Webmail 要访问您的邮件，允许吗？用户说是然后

FB 使用“访问 token ”将用户重定向到 Webmail，返回 Webmail 回调 URL

Webmail，获取该访问 token 并使用它代表用户进行 Webmail 到 FB api 的调用。

正如您所看到的，复杂性出现了，您需要提供一个 token 服务器，以确保 Webmail 在 token 服务器上注册为“已知提供者”，然后用户授予 Webmail 代表他们访问 FB 的权限。

在您的 Webmail 方面，您不会使用任何本地/基本/承载策略。您将使用passport-oauth2 策略。 Bearer 是一种有效的 API 策略，类似于呈现 API key 。如果您不需要用户权限来授予对 API 的访问权限，我强烈建议您使用passport-http-bearer 策略，您不会感到头疼。

我希望它有帮助。