问题描述
OAuth 2.0 设备授权授权旨在使用智能手机等辅助设备对输入受限的设备进行身份验证,并为其提供绑定到登录用户的访问令牌。
就我的用例而言,我们在公共场所悬挂了许多智能电视。他们运行一个从 API 请求数据的 Web 浏览器应用程序,但为了保护这个 API,需要一个身份验证层,以便只允许电视使用 API。 我正在考虑添加一个类似于设备授权授权的注册过程,它要求电视安装者使用他们的智能手机来激活电视。使用安装程序帐户登录后,他们将能够输入显示在电视屏幕上的设备代码。完成激活后,电视将能够使用其设备代码轮询服务器并接收访问令牌。
然而,这里的不同之处在于,安装者并不是真正的资源所有者,而只是可以信任来激活新设备的第三方。安装人员使用自己的个人凭据登录智能手机,但电视最终应收到的令牌必须绑定到电视,而不是绑定到安装人员。
- 我是否正确地假设必须将电视视为公共客户端(它不能安全地存储 client_secret),并且我需要将授权代码流与 PKCE 一起使用,即使没有“用户”绑定到令牌?
- 我可以将“用户”一词替换为“设备”并使用设备授权授权,而设备本身就是“用户”吗?
- 或者也许有一种完全不同的方法来解决这个问题?
提前感谢您的建议!
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)