我正在使用 Play 2.0 和 Scala 开发一个应用程序,它公开了一些 REST API。这些 API 将由不同的应用程序,包括 Web、移动和桌面应用程序使用,因此 OAuth 协议(OAuth2)似乎最合适。
另外,我最初会使用 Facebook 等外部 OAuth 提供者。
我的问题是:授权每个 REST 调用的确切流程是什么?对于每个调用,服务器端应该期望什么,并且我应该与外部提供者检查什么?
在 OAuth1 中,我知道客户端会随所有签名请求发送令牌,但我认为 OAuth2 不是这样,如果令牌没有被签名,则不被信任,因此我不认为这是正确的流程。