在StormPath上添加授权代码授权

Question

我需要构建一个OAuth 2.0提供程序，并且希望使用StormPath来保持身份，并生成访问令牌和刷新令牌。但是，StormPath不支持授权代码授予。因此，我正在考虑在StormPath之上实现授权代码授权。推荐这样做吗？你能推荐一个更好的方法吗？

对于实现NodeJS 2提供程序，您会推荐什么样的OAuth库和？

我喜欢Stormpath使用JWT的想法，它不需要被持久化为访问令牌(我做对了吗？)，我想在我的系统中使用它。所以，我应该使用Stormpath的CustomData来存储授权代码，但使用Stormpath API为我生成一个令牌，这是对的吗？还是我必须生成自己的令牌，并使用风暴路径的CustomData来存储它们？

Answer 1

嗨，我在@ Stormpath工作，所以我想我应该跳到这里来。

现在，您可能知道，我们只支持密码授予和客户端凭据授权OAuth2流。我们正在努力在未来支持其他两个流(授权代码和隐式流)，但这还有点困难。

如果你想成为你自己的OAuth2提供者(我认为这是你该做的)，并且允许其他开发者通过你的web服务将用户登录到他们的网站，那么是的--你确实需要自己支持授权代码和/或隐式格兰特类型。

过去，我曾和几个人一起做过类似的事情。

通常，我建议使用开源OAuth2服务器库来处理授权代码/隐式协商，然后简单地将用户及其令牌存储在风暴路径和用户的CustomData中。

如果你想要更多的细节，请扩展你的问题，并在下面的评论，我会更新我的答案，以反映更多的细节。

更新

关于Java库--我已经让编写我们所有Java库的一位同事发表意见并为ya =提出建议)，对不起，我是Python / Node / Go的家伙！

现在，关于令牌：

• Stormpath使用JWT来表示OAuth2的访问和刷新令牌。
• 这些令牌只是“字符串”，但它们必须存储在浏览器(使用cookie)或客户端设备(如移动电话)中，以便正确使用。所以，是的--他们一定是一直盯着那个客户！

我要做的(高级别)是：

• 当用户向您的网站注册时，将它们像普通一样存储在风暴路径中。
• 使用Java中的OAuth2提供程序库来处理web服务器上的授权代码/隐式格兰特流。这将涉及将授权代码存储在数据库的某个地方。

当用户通过授权代码/隐式登录应用程序时，您要做的是：

1. 使用Java库，您必须向用户显示一个屏幕，屏幕上写着‘除了这些权限吗? yada yada .’。
2. 一旦用户接受，将授权代码存储在帐户的CustomData中(稍后您将需要这样做)。

当用户使用授权代码向服务器发送请求并希望获得访问令牌时，您需要：

1. 抓住帐户的CustomData。
2. 从CustomData中获取授权代码，并验证它与用户发送给您的代码相同。
3. 如果它有效，那么使用Java中的JWT库为用户生成一个JWT访问令牌。我推荐JJWT：https://github.com/jwtk/jjwt

当用户向服务器发送访问令牌以标识自己时，您需要：

• 验证JWT。
• 从JWT中获取用户的HREF (类似于https://api.stormpath.com/v1/accounts/xxx)。
• 从Stormpath (通过href)获取用户帐户。
• 将该用户对象用于您需要的任何东西=)

希望这是合理的！

这听起来可能是很多工作，但实际上，这应该是非常简单的。实际上，您只需要OAuth2库来帮助您正确处理OAuth2 POST请求数据，并在以下方面提供帮助：

• 定义权限(范围)。
• 等。

Answer 2

我是Stormpath的Java开发人员布道者。

Java通过SAML提供者和社会提供者(如Facebook和Google )支持授权代码授予类型。

更高级别的集成，如Servlet、Spring和Spring，目前通过Stormpath的ID站点服务支持外部提供者auth。

我们正在努力将对这些流动的支持直接纳入整合。您可以跟踪该这里的进度。

如果您想实现成为授权代码授予类型提供程序的能力，我建议使用Apache Oltu库。您仍然可以使用Stormpath Java将Stormpath与Oltu集成。