OAuth 2.0 生成的 ID 密钥怎么给第三方对接？

2019-10-16 11:39:32 +08:00

bayker

部署了一个 Oauth2.0。但实际使用的时候，我生成 ID 密钥后，怎么给对接方呢？ QQ，邮件但感觉都不对，这样颁发者（我）也知道了他们的 ID，密钥。

这完全是不可信，可靠的方式啊。请问大家是用什么方式呢？

2467 次点击

所在节点

问与答

26 条回复

bayker

2019-10-16 15:18:01 +08:00

@littleylv 密钥我真不知道，密钥是加密存储数据库。但 AppId、AppSecret 是什么，不属于 oauth2.0 吧。

bayker

2019-10-16 15:18:31 +08:00

@popvlovs AppId、AppSecret 是什么，是属于 Oauth 的吗？

popvlovs

2019-10-16 15:30:03 +08:00

@bayker 你的理解是不对的，你所说的密码模式是 Resource Owner Password Credentials Grant 么？这个模式下没有 AppId 和 AppClient （这意味着 OAuth 服务供应商无需校验应用端的可靠性，一般来说不会这样做，除非 OAuth 服务供应商完全信任应用端），这个模式下用户需要输入自己的登陆凭证（一般是用户名和密码）来交换 Token

popvlovs

2019-10-16 15:33:06 +08:00

比较常用的模式是 Authorization Code Grant，这种模式下，OAuth 服务的供应商会签发一对 AppId 和 AppSecret 给应用端，这两个东西是 OAuth 服务商校验 App 身份的一个手段，主要目的是为了防止冒充

popvlovs

2019-10-16 15:33:26 +08:00

也叫 ClientId 和 ClientSecret

bayker

2019-10-16 15:34:57 +08:00

@popvlovs 好的，明白了。谢谢。

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/609838

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.