oauth 2.0 Welcher Fluss ist am besten für Benutzer und keine Benutzerinteraktion geeignet?

Question

Ich habe jetzt viel über oauth 2.0 und seine Anwendungsfälle (Flüsse) gelesen.

Jetzt habe ich diese zwei Szenarien:

1. Benutzer meldet sich unsere Kunden und mit seiner ID und pw ist der Kunde dann die api Anrufe zu tun.

2. Ausländisches System ohne Benutzerdaten will auf Server Web API zugreifen.

Wenn ich nicht falsch bin ich für 2. die Verwendung würde vorschlagen, „Client Credentials fließen“ und für 1 würde ich „Implizite Genehmigung erteilen flow“ verwenden.

ich die Informationen über die ausgewählten Ströme haben, von http://tutorials.jenkov.com/oauth2/authorization.html

So bin ich recht über diese Entscheidung oder ist es eine bessere Alternative ich gesehen habe nicht?

Answer 1

Ja, Sie sind,

Im Allgemeinen, wenn ein Client (sei es Ihre eigene Web-Client oder Drittanbieter-Client) will Benutzers Daten zugreifen, dann müssen sie Zugriffstoken übergeben, die sie bei der Genehmigung erhalten haben, jede unter Verwendung von einer der Fluss (authorization_code oder implizit)

Und wenn Drittanbieter-System Daten zugreifen möchte, die nicht benutzerbezogen oder am wenigsten nicht empfindlich ist, dann brauchen Sie nur eine Möglichkeit zu identifizieren, welcher Client die Anfrage macht, ist es nützlich für Validierung, Ratenbegrenzung usw.

So funktioniert Client Credentials Flow in dein Fall.