Я пытаюсь выяснить, какой грант OAuth2 использовать для моего приложения / saas.Или, если OAuth2 - даже правильный путь.
Приложение:
Цель приложения - использование и интеграция с электронной торговлей.Поэтому я хочу, чтобы пользователь зашел на мой сайт и зарегистрировал аккаунт.После создания учетной записи пользователю должны быть предоставлены учетные данные, с помощью которых он может получить токен доступа и обновления.Токен доступа должен обеспечивать доступ к СВОИМ ресурсам пользователей и предпочтительно использовать области для ограничения доступа.Пользователь должен иметь возможность получать / публиковать / размещать и удалять данные из своей учетной записи, как если бы они работали в предоставленной администрации (SPA).Им не нужно проходить через поток перенаправления OAuth, потому что они будут использовать API со своих серверов.
Мои мысли
Сначала я подумал о том, чтобы пойти на учетные данные клиента грант.Но потом я узнал, что он не будет предоставлять доступ пользователю и его ресурсам.Я начал склоняться к использованию учетных данных владельца ресурса .Но я не очень верю в то, что мои пользователи выбирают надежные пароли.И почти во всей документации, которую я могу найти, кажется, что все не рекомендуют использовать этот грант.
Может быть, OAuth не подходит для моего проекта?Может быть, мне стоит обратиться к какому-нибудь API-ключу, который можно обменять на токен доступа?
Есть мысли и / или замечания?