Oauth2流程，授权与授权授权的区别

Question

我正在使用这个库：https://github.com/manjeshpv/node-oauth2-server-implementation

根据我对Oauth2的理解：

1)Generate a clientid and clientSecret

2)User use clientId and clientSecret to get a bearerToken

3)Authorisation server returns accessToken to users if valid clientId and clientSecret combination

4)User then use the accessToken to run http post/get api calls (within their scope)

在GITHUB给出的邮递员例子中，我们有

​

​

我注意到密码授权、刷新令牌、客户证书授予和授权都指向同一个帖子请求，但在主体上存在差异。

授权示例web服务，我认为用户必须单击才能使授权服务器返回访问代码，以便用户调用范围特定的API urls，但不知为何，访问代码也是必需的，我对此感到困惑。

​

​

如果我使用客户端凭据授权(我假设它是使用我的clientId和clientSecret返回一个clientId)，那么授权then服务的意义是什么？

​

​

对于这个库和the服务示例来说，正确的流程是什么？

非常感谢在这方面的帮助，谢谢！

Answer 1

授权示例web服务，我认为用户必须单击才能使授权服务器返回访问代码，以便用户调用范围特定的API urls，但不知为何，访问代码也是必需的，我对此感到困惑。

你的术语有点混乱。下面是一个可能最流行的OAuth流：

1. 开发人员(您)注册OAuth客户端，接收clientid和clientSecret
2. 用户打开一些url，如oauth.com/authorize，会显示一个对话框，要求授予开发人员应用程序一定的权限。(这里使用clientId，但不需要clientSecret )
3. 如果用户同意，授权代码将发送给开发人员的应用程序(步骤1定义的redirect_uri )。此代码是短期的，不能用于访问用户的数据.
4. 开发人员的应用程序使用授权代码、clientId和clientSecret向clientId服务器发出POST请求，并以授权令牌作为交换。此令牌可用于访问用户的数据。

如果我使用客户端凭据授权(我假设它是使用我的clientId和clientSecret返回一个clientId)，那么授权then服务的意义是什么？

ClientCredentials授予获得的令牌标识客户端，但不标识用户。所以我想这在你的情况下是没用的。