OAuth 2.0 生成的 ID 密钥怎么给第三方对接？

上帝视角？

让他们生成啊

@zhaishunqi ?? 是我对 oauth2.0 理解有误？请指明

@haoz1w0w 第三方可以自己生成 id 密钥对，来调用我的认证？

建议楼主看一下流程。你是要 oauth 别人比如你允许 qq 登录你的网站，还是要提供 oauth 服务，比如你网站的账户可以登录其他网站呢

@lovedebug 我是想保护我的 API 接口

那你需要提供一个接口让用户调你的 api 生成 token，他们自己负责保存。

搞个注册的页面让他们自己注册

@CRUD 我想的也是让他们自己注册。或者提供一个登陆后，修改自己的密钥界面。

@lovedebug 我的意思是，他们调用 API 生成 TOKEN 的时候，使用的密钥。 怎么给他们，这个密钥应该除了他们自己，其他人都不应该知道，包括颁发者（我）。

appID 和 appSecret 不应该是你给他们哦，是你提供一个页面，他们去注册，生成。全程你都不要参与的

但是要说你不知道是不可能的，因为这个是会存到你的数据库的 [滑稽

他们把公钥填写在你这里，你可以用公钥验证他们，他们自己有私钥可以验证你。

Github 的 OAuth 你用过么？和你的场景几乎一样，你可以参考一下 https://github.com/settings/applications/new。AppId 和 AppSecret 是自动生成的，用户自己持有

这个 ID 和密钥因为你签发的，你当然需要知道，不然怎么校验防止冒充呢？我在想你是不是把用户的 Username Password Credential 和 AppId、AppSecret 弄混了...

你只需要保证 AppId、AppSecret 不被你和用户之外的第三方知道就可以了

@popvlovs 额，好的。我去了解下。 我理解的是，Oauth 认证简单模式只需要 Clientid 就行了，密码模式只需要告诉第三方 clientid 和 Password 就行了。还需要 appid,appsecret ？还是说 是同一个东西，只是叫法不一样？

建议先把 oauth rfc 看一遍，至少看 1.1

@momocraft 你觉得我是哪里理解有误或者没理解到？