用OAuth2保护nodejs /OAuth2

Question

我已经用sailsjs开发了一个REST，我想添加OAuth2授权来保护这个API。我对OAuth非常陌生，我不知道从哪里开始。

我找到了几个可用于此目的的模块，例如oauth2orize及其使用https://github.com/aaron524/sails-oauth2-provider-example的示例，但我不完全理解它在内部是如何工作的。

基本上，我将有几个客户端使用我正在开发的API：-我信任的客户端，以及我想与“资源所有者凭据授权”一起使用的客户端--我不信任的客户端，它们将使用授权代码流连接

我正在考虑在sails应用程序中向客户端模型添加一个受信任的属性，然后当用户登录到一个应用程序时：-他将直接访问其资源(在受信任的应用程序的情况下)--他将被请求批准或拒绝应用程序访问他的资源(对于不受信任的应用程序)。

这样做好吗？关于如何根据客户端可信级别选择相应策略的指针吗？

更新

我已经在GitHub上设置了以下项目，使用了我找到的几个教程和项目。

https://github.com/lucj/sails-oauth2-api  

这个项目还没有开始运作。

当用户通过应用程序使用API时，我仍然不清楚如何选择正确的授予类型(授权代码与资源所有者的密码)。如何将这一检查纳入政策？

我无法在OAuth endPoint (/oauth/endPoint，/oauth/token)和对oauth2orize的调用之间创建链接。知道吗？

Answer 1

最后，我与Oauth2orize、sails和护照进行了斗争，并设法将API的OAuth2安全性集成到了项目https://github.com/lucj/sails-oauth2-api中。