问题描述
我正在尝试使用 DRF 实现 OAuth2,但我正在努力了解哪个流程是正确的流程以及如何使用它。 Angular 和 React Native 应用程序正在使用后端。使用此 https://auth0.com/docs/flows/ 文档,我得出结论,“带有代码交换证明密钥 (PKCE) 的授权代码流” 将是正确的选择。
我一直坚持从 OAuth 服务器获取“代码”,因为我不想为了获取它而必须登录到 django 管理控制台,而且它看起来是唯一的选择。我有几个问题:
- 授权代码流是否仅用于与 Facebook、Google 等其他网站集成?
- 我在哪个点对用户进行身份验证?是在发送授权码之前还是在与用户名和密码一起使用授权码之后?
- 如果我使用密码身份验证,我是否会陷入“资源所有者密码流程”?
- 对于密码流,客户也必须将密钥留在他们身边。因此,如果第三方获得了密钥,剩下的唯一事情就是用户密码和用户名,这实际上是我们目前使用 BasicAuth 所拥有的。那么问题是 - 在使用密码流时,与 BasicAuth 相比,OAuth 如何额外保护资源?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)