问题描述
我正在尝试使用OAuth2.0了解微服务架构。我了解OAuth2.0的工作原理。我看到一种授予类型是“客户端凭据”,它需要客户端ID和客户端密钥,并在此帮助下生成访问令牌。
这可能是一个愚蠢的问题,但我仍然无法理解如何将其集成到我的应用程序中。
客户是否应具有不同的客户凭证?他们是否需要呼叫授权服务器来生成访问令牌?还是将客户端凭据发送到API网关以生成访问令牌并继续进行操作?
客户端凭据应存储在哪里?
请帮助我理解。
非常感谢您。
解决方法
他们是哪种类型的客户?
- Web /移动用户界面?
- 来自业务合作伙伴的后端API客户?
无论哪种情况:
- 客户端将从授权服务器获取令牌
- API /网关将仅接收令牌-永远不会收到凭据
对于后端API客户端,您将在授权服务器中为每个客户端API配置客户端ID和密码,然后将其发送给每个客户作为入职的一部分。