Одним из преимуществ процесса Client Credentials oAuth 2.0 является то, что приложения могут выполнять аутентифицированные запросы к веб-службе без необходимости привлечения конечного пользователя. Поскольку пользователь не участвует, запросы, которые можно сделать из приложения, ограничены. Например, используя API Spotify, вы по-прежнему можете отправлять запросы на получение метаданных дорожек, содержимого списков воспроизведения и поиск альбомов. Любая конечная точка, для которой требуется область, не может использоваться, так как требует взаимодействия с пользователем. .
Таким образом, использование учетных данных клиента просто не имеет смысла, если вы заинтересованы в выполнении запросов от имени пользователя или если вы хотите получить доступ к личным данным, поскольку пользователь должен сначала дать вам разрешение.
Для этого вам нужно использовать Implicit Grant или Authentication Code Flow. Я советую вам прочитать больше о поддерживаемых потоках oAuth 2.0 в Руководстве по авторизации. . Одним из преимуществ использования потока кода авторизации является то, что вы также получаете новый маркер обновления, который можно использовать для получения маркеров доступа на неопределенный срок. Однако для этого требуется, чтобы вы написали веб-службу, которая принимает код авторизации и обменивает его на токены. Поток неявного предоставления не возвращает токен обновления, поэтому его можно использовать только в течение одного часа, пока не истечет срок действия токена доступа.
person
Michael Thelin
schedule
03.02.2016