基于Torii的Ember CLI“静态”应用认证策略

Question

为了澄清我对Torii提供的客户端静态应用程序的理解：

• OAuth 2.0的隐式Grant工作流是唯一在客户端静态应用程序中工作的OAuth工作流。
• Torii只通过torii/providers/oauth2-bearer，支持这一点，它返回令牌而不是代码。
• 如果1和2是真的，那么我想所有使用Torii的客户端静态应用程序都只会使用OAuth2-无记名方法。Torii中的其他提供者，比如基于代码工作流的stripe-connect等，需要服务器支持才能获得基于代码的AccessToken。

是这样的吗？

提前谢谢。

Answer 1

Torii中的一些概念可能有点让人费解。因为它是如此灵活，所以大多数问题的答案都是“它取决于”。

你的理解基本上是正确的：

1. 是的，唯一有用的不需要具有共享机密的服务器的OAuth工作流是隐式格兰特。
2. 是的，承载提供者不要求您运行服务器。facebook连接提供程序或任何使用相同方法的自定义提供程序也是如此。
3. 使用Torii的无服务器应用程序不能使用授权代码工作流，并且需要返回访问令牌的身份验证机制。这可能是使用OAuth2承载提供商，但您可以使用facebook连接或任何其他类似的方法。