Лучший тип предоставления oauth для моего приложения
Я разработчик php для своей фирмы, и я немного застрял с этой концепцией Oauth.
Я искал в Интернете и прочитал почти каждую статью, которую я мог найти о oAuth, но все же мне не понять, как справиться с этой ситуацией.
Я живу в Нидерландах, так что прости меня, если мои работы иногда немного не в порядке.
Я работаю над приложением для нашей компании. Это онлайн рабочая платформа, где люди могут зарегистрироваться, чтобы найти работу.
Мы продаем наше онлайн-приложение компаниям, которые предлагают работу и тому подобное.
Таким образом, у каждой компании, которая покупает наше веб-приложение, есть такой URL: http://companyname.onlinejobs.com ( например ).
Таким образом, у нас есть внутренние пользователи, которые могут войти в свое приложение, и у каждого из них разные роли и разрешения.
У нас также есть http://onlinejobs.com как веб-сайт, где каждый может зарегистрироваться, чтобы увидеть возможности работы и многое другое.
Таким образом, у нас также есть внешний пользователь, который также может иметь несколько ролей, таких как бесплатный пользователь и премиум-пользователь.
Мы создали REST API, который содержит все методы для добавления и просмотра заданий, профилей и т. Д. И т. Д. Мы хотим, чтобы этот API был доступен только для зарегистрированных клиентов.
Так что, если я зарегистрирую company1.onlinejobs.com, то это, по моему мнению, клиент, и может использовать только наши API.
Но теперь мы хотим интегрироваться в ситуацию.
Мы хотим, чтобы API был защищен от любых незарегистрированных клиентов, но мы также хотим быть уверены, что свободный пользователь веб-интерфейса не сможет получить доступ к вызовам API aptain, которые может совершить пользователь премиум-интерфейса.
или это поведение на основе разрешений не является чем-то для oAuth?
Какой тип предоставления, который использует oAuth2, мы можем использовать в нашей ситуации?
Мне действительно нужна помощь с этими парнями. Надеюсь, кто-нибудь может дать мне четкое объяснение о том, что лучше использовать, а может, и вовсе нет.
Решение
У нас был похожий вариант использования, и мы создали собственный сервер авторизации, который может обрабатывать следующие варианты использования
- Аутентификация и авторизация от
- веб-приложения
- приложения с поддержкой javascript [например, SPA-приложения]
- Собственные приложения, такие как службы Windows или приложения Windows
Мы использовали следующие потоки в OAuth2.0
- Код авторизации
- Неявный поток
- Учетные данные владельца ресурса
Следовательно, правильный выбор потока должен быть определен с типами приложений, которые вы планируете поддерживать.
НТН
Другие решения
Других решений пока нет …