Unterschied zwischen grant_type=client_credentials und grant_type=Passwort Authentifizierung?
Ich würde gerne verstehen, den Unterschied zwischen grant_type=client_credentials
und grant_type=password
im Authentication
oder in OAuth2 Flow
Konzept. Ich bin unten folgenden Websites:
Vermute ich grant_type=password
im not secure
Weg soweit mit gran_type
in der Entwicklung von JavaScript. Aber ich habe noch wounder, kann mir jemand helfen zu verstehen, dieses Konzept.
Ich auch beobachten, dass grant_type=client_credentials
nicht "refresh_token
", es stellt nur access_token
wo, wie grant_type=password
bietet sowohl access_token
und refresh_token
.
Hoffen, um ausführliche Erklärung. Ich bin mit WSO2 API Manager
für OAuth2 für meine Anwendung Entwicklung
InformationsquelleAutor | 2016-01-17
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ressource Besitzer Anmeldeinformationen gewähren (Kennwort gewähren-Typ)
Wenn dieser grant ist implementiert die client-Seite wird der Benutzer aufgefordert, Ihren Benutzernamen und Ihr Kennwort (im Gegensatz zu der umgeleitet wird zu einer IdP-Zulassung-server für die Authentifizierung) und dann senden Sie diese an die Zulassung-Servers zusammen mit der client-Anmeldeinformationen. Wenn die Authentifizierung ist erfolgreich und der client erhält eine access-token.
Dieser Zuschuss ist geeignet für Vertrauenswürdige clients wie ein service-eigenen mobilen client (zum Beispiel spotifys iOS-app). Sie können auch diese software, wo es nicht leicht ist zu implementieren, die eine Zulassung code - so haben wir zum Beispiel verschraubt, diese Zulassung erteilen, in OwnCloud so konnten wir abrufen von details zu einem Benutzer, dass wir nicht den Zugriff über LDAP-aus der Universität für die Active Directory-server.
Client credentials grant
Dieser Zuschuss ist ähnlich Besitzer der Ressource Anmeldeinformationen gewähren, mit Ausnahme nur der client die Anmeldeinformationen für die Authentifizierung verwendet wird, eine Anforderung für ein Zugangs-token. Wieder dieser Zuschuss sollte nur werden dürfen, verwendet werden, die von vertrauenswürdigen clients.
Dieser Zuschuss ist geeignet für Maschine-zu-Maschine-Authentifizierung, zum Beispiel für die Verwendung in einem cron-job, der Durchführung von Wartungs-tasks über ein API. Ein anderes Beispiel wäre ein client, die Anforderungen an eine API, die nicht erfordert Erlaubnis des Benutzers.
Wenn jemand ein Mitglied der Mitarbeiter-Seite auf der Universität von Lincoln Personal-Verzeichnis der website verwendet eigene access-token, das generiert wurde, mit diesem Zuschuss) zur Authentifizierung einer Anfrage an die API-Servers, um die Daten über den Mitarbeiter erfasst werden, die zum Aufbau der Seite. Wenn ein Mitarbeiter meldet sich bei Ihr Profil aktualisieren jedoch Ihre eigenen access-token wird verwendet, um das abrufen und aktualisieren Ihre Daten. Daher gibt es eine gute Trennung von Bedenken, und wir können leicht Schränken Sie die Berechtigungen ein, dass jede Art von access-token hat.
InformationsquelleAutor Saminda Alahakoon