Я использую Auth0 в качестве службы аутентификации с веб-приложением Spring Boot. Мой API должен использоваться другими клиентами, не являющимися людьми, которые сначала должны пройти аутентификацию. Какой поток я должен использовать?
- Поток кода авторизации
Это здорово, потому что мне не нужно выставлять токены клиенту, но проблема в том, что auth0 всегда использует свою блокировку и мои клиенты не люди, и они не могут заполнить форму, она должна go только через API.
Поток учетных данных клиента
Проблема этого потока в том, что у меня должно быть много клиентов, и мой API должен знать разницу между ними, и единственный способ сделать это - создать несколько приложений M2M на Auth0 и множество идентификаторов и секретов клиентов.
Пароль владельца ресурса
С помощью этого потока клиент может отправить мне предоставленное имя пользователя и пароль на моем веб-сервере, я могу их аутентифицировать и вернуть им маркер доступа (или идентификатор сеанса, если я хочу скрыть) токен доступа). Проблема с этим потоком состоит в том, что я не уверен, соответствует ли это OID C.