맞춤 OAuth2 허용 유형 만들기

Question

휴대 전화 용 앱을 제작 중입니다. 승인 절차는 다음과 같은 방식으로 이루어져야합니다. 사용자가 로그인하지 않으면 WatsApp, Viber 등의 전화 번호를 입력하라는 메시지가 표시되고 전화 번호를 입력하면 8 자리 확인 코드가있는 SMS가 사용자에게 전송됩니다. 사용자가 코드를 입력하면 OAuth2 액세스 토큰과 새로 고침 토큰이 생성되어 8 자리 확인 코드가 데이터베이스에서 삭제됩니다. 사용자가 로그 아웃하면 동일한 프로세스를 다시 수행해야합니다.

저는 자원 소유자이므로 비밀번호 인증 방법을 사용하고 싶습니다. 그러나 인증 프로세스 중에 암호가 없기 때문에 어떤 매개 변수를 사용하여 토큰을 만들지 모릅니다. 새로운 oauth2 부여 유형을 만드는 것이 좋습니다. "confirm_code"라고하며 매개 변수는 client_id, client_secret, username 및 confirmation_code가 될 수 있습니까?

Answer 1

http://tools.ietf.org/html/rfc6749의 사양에 따라 OAuth 2.0 "리소스 소유자 비밀번호 자격증 허가"를 사용하십시오. 귀하의 사용자 ID는 전화 번호이고, 암호는 귀하가 보낸 8 자리 확인 코드입니다.

SMS를 보내야 할 전화 번호를 등록하라는 전화는 분명히 인증되어서는 안됩니다.

또는 "인증 코드 부여 (Authorization Code Grant)"를 사용하십시오. 로그온 페이지에서 필요한 단계를 수행하십시오. 먼저 전화 번호를 물어보고 SMS를 보내십시오. 그런 다음 확인 코드를 요청하십시오. 이것은 몇 가지 보안 이점을 가질 수 있습니다. 위의 방법과의 주요 차이점은 권한 부여 서버가 UI의 일부 (HTML 일부)를 제공하는 반면 비밀번호 자격 증명을 사용하면 모든 UI가 애플리케이션 (OAuth 클라이언트)이 제공한다는 점입니다.

인증 서버가 제공하는 페이지에서 여러 인증 메소드를 사용할 수 있습니다. 예를 들어, 일반 암호를 입력 할 수있는 기능을 제공하고 암호가 입력되지 않은 경우에만 SMS를 보낼 수 있습니다. 이것은 일반적인 웹 응용 프로그램이므로 기본적으로 웹 응용 프로그램에서 가능한 모든 작업을 수행 할 수 있습니다. 권한 부여 서 v가 클라이언트 응용 프로그램으로 재전송 할 때만 권한 부여가 완료됩니다.