带有API的oauth2orize？

Question

我正试图将oauth2服务器与API集成在一起，结果陷入了困境。在这个例子中，使用了三种不同的策略(本地的、基本的、无记名的)，对此有解释吗？如何创建客户端密钥和秘密？是否有为用户提供简单登录的工作示例？

Answer 1

为了将来的参考，我用一个小的，可以理解的例子把所有的东西拼凑在一起。oauth2api

Answer 2

是的，你会头痛:)。这不是一个容易实现的策略，但是下面是使用令牌服务器的完整示例，等等：

https://github.com/jaredhanson/oauth2orize

我花了几个星期的时间才意识到这一点，帮助我理解了Oauth2规范本身。有许多活动部件，简略如下：

1. 用户与服务提供商联系(即我的网络邮件)。
2. Webmail提供Facebook auth、用户点击和用户重定向到fb.com上的FB auth端点。
3. FB说，嘿，Webmail想要访问您的邮件，允许吗？用户同意了
4. FB将“访问令牌”重定向到Webmail，返回到webmail回调URL
5. Webmail，获取该访问令牌，并使用它代表用户发出Webmail到FB调用。

正如您所看到的，复杂的情况似乎是，您需要提供令牌服务器，以确保Webmail以“已知提供者”的身份在令牌服务器注册，因此用户授予Webmail代表他们访问FB的权限。

在您的Webmail端，您将不使用任何本地/基本/承载策略。您将使用护照-OAuth2策略。承载是一种有效的API策略，类似于呈现API密钥。如果您不需要用户权限来授予访问API，我强烈建议您使用护照-http-承载策略，您没有头痛。

希望能帮上忙。

Answer 3

看一下数字4。这个示例非常容易工作：https://github.com/scottksmith95/beerlocker

使用postman并创建测试用户，并将其张贴到本地主机:3000/api/ user用户名yourName密码yourPass

然后，在测试api时使用它登录。