APIサーバーとモバイルアプリケーションのOAuth 2.0

Question

私はサーバーとモバイルアプリケーションを持っています。サーバーはRESTful APIを提供し、モバイルアプリケーションはこのAPIを使用します。 OAuth 2.0を使用して、承認されたユーザーだけが応答を得ることができるようにしました。つまり、このトークンを使用してAPI呼び出しを行うことができるように、ユーザーがログインするときにモバイルアプリがアクセストークンを取得します。

通常、OAuthは、リソースの所有者（私のような）、リソースサーバー（Facebookなど）、クライアント（一部のサードパーティのアプリケーション）が存在するシナリオで使用されます。私の場合、サーバーとモバイルアプリだけがあります。アクセストークンを取得する必要がある場合は、ユーザーのユーザー名&を使用したいと思います。私の質問は以下の通りです：

1. 私のサーバーと私のアプリケーションはどのような役割を果たしているのですか？
2. どのような種類のフロー（および/または認可付与）を実装する必要がありますか？

Answer 1

モバイルアプリケーションはクライアントで、APIサーバーはリソースサーバーです。私が両方のエンティティを所有しているので、私が探しているグラントタイプは2足の "Resource Owner Password Credentials"です。私はthisライブラリを使用して、マイナーな変更を加えてデータベースに合わせました。ご協力ありがとうございました。

Answer 2

OAuth 2でクライアントを認証する必要がある場合は、独自の認証サーバーで行うことができます。 thisのような多くのオープンソースのOAuth 2サーバがあります。

また、この問題のドメイン用に作成されたOAuthをご覧ください。

Answer 3

サーバーとアプリケーションがどのような役割を果たしているのかよくわかりません。

https://tools.ietf.org/html/rfc6749#section-1.1によると、モバイルアプリケーションは、クライアントで、RESTfulなAPIをホストしているサーバーは、リソースサーバです。

どのようなフロー（および/または認可付与）を実装する必要がありますか？あなたはおそらくauthorization code grant

に興味がある

...

@rsaが指摘したように、あなたはまた、独自の認証サーバをロールする必要があります。