من در حال ساختن یک وب (همچنین یک برنامه بالقوه تلفن همراه) برای یک سکویی هستم که به پلاگین ها اجازه می دهد. ما از نوع اعطای کد مجوز OAuth2 برای افزونه های مشتری شخص ثالث استفاده می کنیم.
در صورت وجود ، کدام نوع کمک هزینه را می توانم برای مشتری های طرف اول خود (از جمله برنامه های وب / تلفن همراه خود) استفاده کنم؟
در حال حاضر ، کاربران ما با یک سرویس خارجی یعنی Google به عنوان یک مصرف کننده OAuth2 وارد سیستم می شوند. سپس ما JWT (با نام کاربری و یک نشان CSRF) را به عنوان کوکی منتشر می کنیم ، و این برای مجوز کاربران در API ما استفاده می شود. برای مشتری های شخص ثالث ، ما به دنبال علائم OAuth2 هستیم.
با این حال ، من نمی دانم که آیا باید از برنامه "رمز عبور" یا "ضمنی" برای برنامه های خود استفاده کنیم تا نقاط پایانی ما بجای بررسی JWT از OAuth2 برای مجوز استفاده کنند (برای اینکه ببینند آیا این کاربر است) و اگر نشانه OAuth2 را چک نکردید (اگر این یک مشتری شخص ثالث است).
جزئیات کمی بیشتر (احتمالاً غیر ضروری): ما از اعتبارسنجی ها در یک نقطه پایانی GraphQL استفاده می کنیم تا کوئری ها / جهش ها را تأیید کنیم و فقط اجازه می دهیم به کلیه دامنه ها دسترسی کاربرانی به JWT (کاربر) ارائه دهیم (از آنجا که کاربر به تمام منابع خود دسترسی دارد برنامه ما) به نظر می رسد این مقاله نشان می دهد که من باید از نوع اعطای "رمز عبور" استفاده کنم ، اما من کمی گیج شده ام زیرا اعتبار خود را به ارائه دهنده دیگری بارگذاری می کنیم ، بنابراین ما فقط اعتبار JWT را صادر می کنیم و سپس نشانه را صادر می کنیم ، نه اینکه کاری را با نام کاربری انجام دهیم. / کلمه عبور
یا من باید فقط پس از تأیید اعتبار با Google ، به دسترسی به منابع موجود در سكوی ما (كه این جریان چه خواهد بود ، نشانه ای صادر كنم؟).
