产品演示的无用户/密码授权流程

Posted 2023-03-09

【中文标题】产品演示的无用户/密码授权流程

【英文标题】：User/password less authorization flow for product demonstration

【发布时间】：2020-01-01 13:41:56

【问题描述】：

我使用 auth0 已经有一段时间了，目前正在考虑我们应用程序的一个用例，它似乎打破了授权流程的基本模式。

我们将在不久的将来在一些贸易展览会上展示我们的产品，并计划让潜在客户访问我们的应用程序，以便他们自己判断其功能。我们希望使入职过程尽可能快速和简单，并希望将注册和登录程序推迟到稍后阶段。

我考虑将印在卡片上的演示代码分发给感兴趣的人，以限制访问，并将元数据链接到它，例如展会名称和其他有用信息。用户可以使用此演示代码登录或扫描二维码，该二维码可解析为我们的应用程序的链接，其中嵌入了演示代码。

哪种授权流程适合我的需要（如果有的话）？ 我想到了资源所有者密码授予，它应该生成一个访问令牌并可以设置一个演示范围，以便我们的 api 可以拒绝对该范围不允许的资源的请求。 但这仍然需要将用户密码组合发送到 auth0-api 并假定用户已经注册。

另一种选择是将注册代码发送到我们的后端，对其进行验证，然后生成访问令牌和临时用户帐户并将代码发送回客户端。 但我在文档中找不到与此过程接近的场景。

有没有更好的方法来实现这个？

【参考方案1】：

我不会直接为此用例建议资源所有者密码授予。

我个人建议让他们通过用户/密码工作流程完成注册。这使您能够跟进他们提交的电子邮件或链接帐户或制作自定义电子邮件活动。我希望这对您的探索有所帮助！

【讨论】：

这正是我现在正在做的事情。感谢您的快速回复。我在应用程序 url 中传递代码，并将在从 auth0 重定向后解析它。