问使用OAUTH安全地访问REST

EN

无论请求来自何处，访问API都应该是相同的。您只需使用带有承载方案的授权头，并将JWT令牌插入其中。

但是，获得JWT令牌的方式是不同的，正如我在这个答案中所解释的那样。这完全取决于您对客户端应用程序的信任程度。

如果您的客户端是一个从服务器端查询API的web应用程序，则可以使用代码授权授予并为您的API获取访问和刷新令牌。

如果您想从JavaScript应用程序访问API，您无法隐藏应用键或刷新令牌，因此您应该使用隐性赠与。

如果你知道如何在你的安卓客户端上安全地存储秘密，你可以使用资源所有者密码授予。

代码授权授予显然是最安全的，因为与运行在计算机上的应用程序相比，危及服务器应用程序要困难得多。