Я работаю над системой аутентификации для веб-приложения, которое я создаю.Я хочу разрешить другим приложениям подключаться к данным, хранящимся в моем (используя систему OAuth).
Я читал о том, как здесь работает OAuth: https://www.oauth.com/oauth2-servers/background/
Большинство из нихимеет смысл, однако у меня есть одна проблема:
Как мне сделать так, чтобы пользователю не нужно было предоставлять доступ к моим собственным мобильным приложениям?
Другими словами, как я могу сделатьтак ли сервер автоматически предоставляет определенные разрешения моим мобильным приложениям?Я предполагаю, что часть этого заключается в создании идентификатора клиента и секрета клиента для этих приложений, как и в других, но как я могу безопасно обойти грант из этих приложений?
Я не уверен, что делаюэто правильно, потому что в моем API у меня есть конечная точка signIn, которая берет имя пользователя и пароль и возвращает токен авторизации.
Если у меня просто нет конечной точки signIn, а вместо этого просто есть валидатор токеначто передает системе OAuth, если токен недействителен?
Я знаю, что это много вопросов, но я хочу получить это право, поскольку система аутентификации так важна для безопасности.