我有几个后端API,都是Django项目。它们有一个UI(单页应用程序),需要用户名密码登录。
我的客户通常是开发人员,他们不需要UI,他们只需要访问后端API,并可以构建自己的仪表板等。他们希望将API与其后端系统集成。
问题:
问题1:我计划使用django-oauth-toolkit,看起来客户端凭据授权类型适合这种情况。我是对的吗?
为了进行实验,我在本地启动了一个独立的oauth服务器,运行在8000端口上,我在8001上启动了资源服务器(r1),在8002上启动了资源服务器(r2)。
步骤1:
我进入oauth服务器的管理员面板,为资源r1创建了用户u1,为资源r2创建了用户u2。我在管理员面板的应用程序模块中注册了r1和r2,并使用资源所有者密码授予类型。为了生成访问令牌,我调用了令牌端点。
我的客户通常是开发人员,他们不需要UI,他们只需要访问后端API,并可以构建自己的仪表板等。他们希望将API与其后端系统集成。
问题:
问题1:我计划使用django-oauth-toolkit,看起来客户端凭据授权类型适合这种情况。我是对的吗?
为了进行实验,我在本地启动了一个独立的oauth服务器,运行在8000端口上,我在8001上启动了资源服务器(r1),在8002上启动了资源服务器(r2)。
步骤1:
我进入oauth服务器的管理员面板,为资源r1创建了用户u1,为资源r2创建了用户u2。我在管理员面板的应用程序模块中注册了r1和r2,并使用资源所有者密码授予类型。为了生成访问令牌,我调用了令牌端点。
POST -d "grant_type=password&username=u1&password=u1password" -u "clientid of R1:clientsecre of fR1" http://localhost:8000/o/token/
我得到了访问令牌
{
"access_token":"KdAOMZBiMomVxpvjAWErwVGog6NRRH",
"expires_in":86400,
"token_type":"Bearer",
"scope":"read write introspection",
"refresh_token":"ffgkZZ5NtVFh4REs0TbFAALNkJqXVQ"
}
步骤2:
我为资源服务器R1生成了上述访问令牌,因此我去R1的设置文件中添加了这个令牌以进行内省。
OAUTH2_PROVIDER = {
'RESOURCE_SERVER_INTROSPECTION_URL': 'http://localhost:8000/o/introspect/',
'RESOURCE_SERVER_AUTH_TOKEN': '9b2uVud7WXHEdyolznvvkM3KwWfkVe', # OR this but not both:
#'RESOURCE_SERVER_INTROSPECTION_CREDENTIALS': ('5sRVXLoTQj9vlkLWaziIMZrgra1keupWIQ2On2hX','5jwMxls1JiAiQiNVnRTtbjmzgRO20FEHD0BBdiSAwvSL1XswZKqglDRke2L8Ig77ol7OE3ZdsA9SE7sry0u3BXwd1OvfFfhDVJFSLWlPG6g1vB3w4ZFc1g8ZwgzXJooc'),
}
步骤3: 我也对资源服务器R2执行了相同的过程。
问题2:注册多个资源服务器的过程正确吗?我是否正确设置了内省?
问题3:如何注册在同一资源服务器上运行的不同微服务?
步骤4: 假设现在我有一个准备好为r1和r2资源生成令牌的认证服务器。
现在,为了模拟一个场景,在这个场景中,一个想要将我的API与他的应用程序集成的开发人员想要生成访问令牌,他必须首先在认证服务器上注册他的应用程序,我在认证服务器上注册了一个应用程序(开发人员的应用程序),授权类型为客户端凭据。
这是我的管理面板,现在R1与用户U1以及R2与用户U2都已经注册为资源服务器,而开发人员应用程序没有与任何用户关联,它是想要访问这些资源的客户端。
步骤5:模拟开发者生成访问令牌的过程,我生成了这样的访问令牌:
注意:我使用了资源R1的客户端ID和客户端密钥生成访问令牌,但我能够成功地将同一访问令牌用于资源R2,并且它可以正常工作。
问题3:为什么我使用R1的客户端ID和客户端密钥生成的访问令牌即使用于R2,也能正常工作?我做错了什么吗? 基本上,我想要能够专门为资源生成开发人员的访问令牌。我知道有范围和权限,但我能否仅为特定资源生成访问令牌?我需要做什么才能实现此目标?我需要扩展或添加一些逻辑吗?
问题4:我的使用客户端凭据授权类型的想法是正确的吗?我注册资源服务器和将使用资源服务器的客户端应用程序的步骤是正确的吗?
感谢任何帮助