OAuth2 propriétaire de la ressource mot de passe vérification des justificatifs d'identité

le OAuth2 Ressources Propriétaire de Mot de passe des informations d'Identification de flux uniquement besoin des informations suivantes pour l'authentification:

 grant_type: password
 username: test@test.de
 password: test

Ou faut-il aussi le client_id et client_secret? Je demande, parce que je veux utiliser Braise-Simple-Auth avec Portier. Les deux implémentent le flux, mais Ember-Simple-Auth n'a pas utilisé client_id et client_secret, alors que le portier a besoin de cette information pour fonctionner. Donc je pense que l'un d'entre eux ne met pas en œuvre le OAuth2 spécifications correctement.

Edit 1:

j'ai aussi regardé les spécifications avant, mais je veux être sûr, avant de remplir un rapport de bug pour Gem Doorkeeper, mais il y a aussi cette section dans les spécifications:

si le type de client est confidentiel ou si le client a reçu des justificatifs d'identité (ou des autres exigences d'authentification), le client doit s'authentifier avec le serveur d'autorisation tel que décrit à la Section 3.2.1.

Edit 2

en regardant les tests de ember-simple-auth, j'ai vu qu'il teste aussi les paramètres de requête client_id et client_secret. J'ai donc cherché plus profondément dans le code et trouvé comment configurer id et secret.

App.LoginController = Ember.Controller.extend(Ember.SimpleAuth.LoginControllerMixin, {
    client_id: 'id',
    client_secret: 'secret'
})

Edit 3

depuis un grand remaniement dans Ember-SimpleAuth, la solution montrée dans Edit 2 ne fonctionne plus. Mais le portier change aussi et maintenant client_id et client_secret sont en option.

15
demandé sur Matthew Haugen 2013-11-11 21:42:42

1 réponses

Êtes-vous sûrs que les deux implémentent oAuth avec les justificatifs D'identité du propriétaire de la ressource?

regardez spec, et de voir que dans le flux de données D'authentification du mot de passe du propriétaire de la ressource, le client_id et le client_secret ne sont pas nécessaires.

Code D'Autorisation Grant, LE spec oblige le client à passer *client_id et client_secret*, mais dans 4.3.1 il dit que le serveur auth nécessite une authentification du client pour être confidentiel CLIENT. La spécification laisse ouverte aux cas où le client n'est pas "confidentiel". Si dans le cas de la question ci - dessus (@Doorkeeper), le client n'est pas "confidentiel" - le client_id pourrait ne pas être nécessaire...

11
répondu OhadR 2013-12-11 09:55:43