我正在尝试创建一个使用 Spotify API 的小型应用程序。由于应用程序规模较小,因此我并不想在我的终端添加任何身份验证,但我仍然希望有“会话”。
我目前的想法是,在使用 Spotify 完成 OAuth2.0 授权代码流程后,只需将用户 ID 与访问和刷新令牌一起存储,并使用 cookie 会话(加密)与该用户 ID 一起使用。然而,这感觉有点奇怪,这不是滥用 OAuth2.0 吗?我似乎正在尝试使用 OAuth2.0 进行身份验证,有点像 OIDC。这种方法可以接受吗?或者有更好的方法来处理这个问题?
我还想知道,如果我在流程完成之前没有真正执行任何身份验证,我该如何使用“state”参数。我是否还应该在用户进入 OAuth2.0 流程之前创建一个会话并在最后检查它?我想我可能也误解了“state”参数的用处。
将身份验证委托给某个外部 OAuth2 服务器是 OAuth2 的一个非常好的用例,而且经常这样做。对于许多用例来说,OIDC 有点过头了,它只是受到 IdP 的大力推崇。
没有 OIDC 就意味着您只需要其他方法来查找 inuqe 用户 ID,听起来您已经拥有了这一点。最好将流程保持在服务器上(听起来您已经拥有了)并滚动您自己的会话 ID。如果您使用会话系统,则无需加密任何内容。
“state”参数可让您确保从授权端点重定向回来的操作确实由 Spotify 完成。您可以在其中输入一个随机字符串,然后验证它。有些人还会在其中填充其他信息,这在无状态系统中可能很有用(但听起来您没有无状态系统)。
如果 Spotify 支持,最好使用 PKCE,这样做之后您就可以忘记状态参数了。