客户端的OAuth 2.0定义

Question

我正在为我们的系统开发一个基于REST的API。我们将有几种类型的客户：

• 网络浏览器-这些浏览器将在加载HTML5应用程序后访问我们的API。
• 我们开发的移动应用程序
• 第三方开发的移动应用程序

我想问一下，我们应该用什么策略来定义客户。例如。

• 我们系统中的每个用户是否需要定义为一个客户端，因为他们需要进行身份验证，还是web客户端被认为是一个客户端？
• 我们是否为我们的iPhone应用程序分配了一个客户端，给我们的安卓应用程序分配了另一个客户端？
• 使用我们的API的每个第三方开发人员是否获得一个单独的客户id？

谢谢,

阿萨夫

Answer 1

访问https://code.google.com/apis/console，创建一个项目。然后访问Access菜单来创建一个客户端id。您将看到不同客户端类型所需的数据，包括Web应用程序、安卓和iPhone应用程序。它可能有助于了解您自己的需求。

这是一个截图：

​

​

Answer 2

这是个好问题。我一直在调查这件事是出于我自己的原因。以下是我认为我将要做的事情：

a)根据OAuth，每个用户都不被定义为客户机。就OAuth而言，客户端是提供授权的机制的定义。)我将根据您需要支持的OAuth流类型来定义我的客户端

例如，您可以对所有客户端使用相同的客户端类型。根据OAuth 2规范(http://tools.ietf.org/html/draft-ietf-oauth-v2-25)，移动客户端和web客户端被认为是“公共客户端”，因此您也许可以决定只支持所有客户端的隐式授予类型，并且可以在OAuth中表示为1种客户端类型。

( c)您可能会决定区分不同类别的用户(例如，您可能需要不同客户端的令牌超时时间)，因此您应该为这些客户端定义不同的客户端类型。

总之，我认为您应该根据需要支持的授予类型和需要支持的不同配置定义您的OAuth客户端类型。