tldr
認証が必要なAPIをOAuth2を使って作る。そのAPIを自サービスで使うとき、ログインと認可画面が分かれないようにするにはどうしたらいいのか?
本文
今、認証を必要とするAPIを作っています。方針としてはHTTPSでリクエストをする際にAuthorization: Bearerヘッダーでトークンを付与する形にする予定です。
ここで疑問になったのが、「OAuth2の認証プロセスでトークンを発行しようとすると、ログインと認可が分かれてしまう」という点です。
通常のウェブサービス(Twitterなど)は、ログインのみで認可画面は出てきません。これはログインしてきた時点で認可に相当するからだと思います。では内部ではどのような処理をしているのでしょうか?ユーザーに代わってサーバー内で認可をしているのでしょうか?
回答3件
あなたの回答
tips
プレビュー