Первый раз пишу серверную часть API с использованием OAuth2.0.
С OAuth уже имел дело (писал клиентов для vk), но только со стороны клиента.
Возник вопррос, как организовать аутентификацию (не авторизацию) при работе с OAuth?
Т.е. для примера: есть клиент API у которого есть форма ввода логина-пароля, пользователь этого клиента вбивает свои данные, нажимает «Войти», а вот что дальше я не совсем понимаю. Понимаю что запрос уходит на сервер, он проверяет данные, если они верные и такой пользователь есть, то что он должен сделать? И как в дальнейшем клиент должен «говорить» серверу о том что это пользователь и как сервер должен понимать что он уже проходил аутентификацию?
Пробовал искать инфу в инете, видел несколько статей, которые натолкнули на определённые мыслы, но всё ещё не до конца понятен весь механизм.
если логин/пароль верные возвращаешь access token, если нет сообщение об ошибке. В документации все расписано с примерами (и вроде был русский форк документации).
Т.е. для примера: есть клиент API у которого есть форма ввода логина-пароля, пользователь этого клиента вбивает свои данные, нажимает «Войти», а вот что дальше я не совсем понимаю.
Прочитать спецификацию OAuth 2.0.
Или взять готовое решение для OAuth2.0, их вагон под любой язык/фреймворк и не париться, в процессе использования изучить основы.
Конечно, если ты там не Очень_Важное_Приложение_Для_Работы_С_Конфиденциальными_Данными пишешь, тогда лучше дай себе по руками и читай спецификацию (ну или займись чем-нибудь попроще).
Простой
Средний
Простой
Простой
