Любые ссылки, касающиеся сценария OAuth 2.0, где * client * является веб-службой

Question

Я рассматриваю сценарий OAuth 2.0, в котором клиент OAuth является веб-службой:

пользователь -> клиент веб-службы (приложение AJAX в браузере) -> вебслужба (клиент OAuth) -> веб-служба (сервер ресурсов OAuth)

Однако я не могу сопоставить этот сценарий ни с одним из сценариев / сценариев использования, описанных в черновом варианте OAuth 2.0 22 или в разделе "OAuth сценарии использования "черновик.

Есть ли какие-либо ссылки (например, документы, публикации) относительно этого вида приложения?

Добавление некоторых имен для пояснения обсуждения

user -> C (например, приложение AJAX) -> Service1 (клиент OAuth) -> Service2 (OAuth RS)

Answer 1

AJAX-клиент может использовать тип неявного предоставления для получения токена доступа (AT) непосредственно из конечной точки авторизации сервера авторизации (As).Этот тип предоставления является оптимизацией более известного типа предоставления кода авторизации, то есть трехстороннего OAuth.(Клиенты JavaScript на основе браузера не могут хранить секреты, поэтому нет смысла заставлять их обмениваться кодом для AT.) Затем Web-сервис, который в этом случае будет Resource Server (RS), будет обмениваться AT клиента AJAXдля нового, использующего IINM, тип предоставления учетных данных клиента передается в конечную точку токена AS.Затем он отправит этот второй AT в нисходящую службу (также RS).Если первый AT является токеном-носителем, обе службы доверяют AS, а второй службе не требуется информация о первой услуге в AT, обмен токенов не требуется.

HTH!