tutorial funciona estandar como authentication oauth oauth-2.0

authentication - funciona - oauth2 token



oAuth 2.0-Actuar en nombre del usuario (1)

Puede obtener un nuevo AccessToken utilizando un RefreshToken , si esto es proporcionado por el Servidor de autorización .

Si no se proporciona me pondría en contacto con el proveedor de Api, nunca debe almacenar las credenciales de los usuarios. De hecho, si el protocolo OAuth está bien implementado como cliente, nunca podrás obtener las credenciales del cliente. Cuando el usuario tiene que iniciar sesión, debe redirigir al usuario al Servidor de Autorización, allí el usuario debe iniciar sesión y el Servidor de Autorización debe redirigir el token de autorización a su aplicación.

Consulte también esta explicación sobre los tokens de actualización de la especificación OAuth 2.0:

Los tokens de actualización son credenciales utilizadas para obtener tokens de acceso. Los tokens de actualización se envían al cliente por el servidor de autorización y se utilizan para obtener un token de acceso nuevo cuando el token de acceso actual no es válido o caduca, o para obtener tokens de acceso adicionales con alcance idéntico o más estrecho (los tokens de acceso pueden tener una vida útil más corta y menos permisos que autorizados por el propietario del recurso). La emisión de un token de actualización es opcional a discreción del servidor de autorización. Si el servidor de autorización emite un token de actualización, se incluye al emitir un token de acceso

Nota

Si solicita un nuevo AccessToken utilizando su RefreshToken y la respuesta incluye un nuevo RefreshToken, debe sobrescribir su RefreshToken actualmente guardado. En otras palabras, siempre debe usar el último RefresthToken que recibió.

Soy nuevo en OAUth2 y estoy tratando de aclarar algunas cosas.

Entiendo los principios básicos relacionados con oAuth2 pero no estoy seguro de cómo implementarlo en mi situación.

Estoy escribiendo una aplicación que actúa en nombre del usuario para automatizar un proceso manual y realizar algunas tareas (estado de actualización / solicitud, etc.). La API a la que nos conectamos usa oAuth2 para otorgarle permiso a nuestra aplicación. Planeamos que el usuario conceda permiso a nuestra aplicación cuando crean una nueva cuenta con nosotros.

Entiendo que el usuario solicitará un código de autenticación que se proporciona a nuestra aplicación. Entonces, nuestra aplicación usará el código de autenticación para generar un token de acceso.

Nos gustaría hacer esto solo una vez. Luego actúe como el usuario para enviar y recibir notificaciones sin tener que hacer que el usuario inicie sesión en el servicio con sus credenciales.

No estoy seguro de cómo implementar esto sin tener que almacenar las credenciales del usuario para obtener un código de autenticación ya que el código de autenticación y los tokens de autenticación caducan. Supongo que este es un escenario común.

¿Qué debería hacer para lograr lo que quiero?