问题描述
我正在尝试为我的应用程序实现OAuth授权服务器,但是我不确定验证用户身份的最佳方法。我打算使用授权码授予功能来使用户向第一方和第三方客户端授予授权。
尽管如此,为了代表用户创建授权,授权服务器将需要知道用户的身份。我正在使用的OAuth服务器库(Laravel Passport)默认使用会话cookie对用户进行身份验证(使用Laravel的auth中间件),并在服务器端呈现身份验证视图(登录,注册,忘记密码等)。 。但是,我想将授权UI与后端分离,这使我可以灵活地将其托管在CDN(如Amazon Cloudfront)上。我可能会公开一个用于创建前端可以使用的授权的端点(例如POST /authorizations)。
授权UI似乎需要自己的访问令牌(可能具有范围authorizations.write),可以由授权服务器授予该访问令牌。但是,为了获得此令牌,我将需要使用密码授予来交换用户的凭据,当前的安全最佳实践不允许这样做。 请参见https://tools.ietf.org/html/draft-ietf-oauth-security-topics-13#section-3.4 。
授权服务器使用密码授予对用户进行身份验证是否安全,还是有更好的方法?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)