Question

当应用程序需要访问受 OAuth2 保护的资源时，通常会使用客户端凭据授权，但在这个事务中不涉及任何人员。使用客户端凭据授权类型，OAuth2 服务器仅根据应用程序名称和资源所有者提供的密钥进行验证。同样，客户端凭据授权经常用于两个应用程序都归同一个公司所有时。密码授权和客户端凭据授权的区别在于，客户端凭据授权仅使用注册的应用程序名称和密钥进行验证。

例如，假设 EagleEye 应用程序每隔一小时就会运行一个数据分析作业。作为其工作的一部分，它向 EagleEye 服务发出调用。但是，EagleEye 开发人员仍然希望应用程序在访问这些服务中的数据之前，进行验证和鉴权。这是可以使用客户端凭据授权的场景。图 B-2 展示了这个流程。

图 B-2 客户端凭据授权适用于“无用户参与”的应用程序验证和授权

（1）资源所有者通过 OAuth2 服务注册了 EagleEye 数据分析应用程序。资源所有者将提供应用程序的名称并接收一个密钥。

（2）当 EagleEye 数据分析作业运行时，它将出示应用程序名称和资源所有者提供的密钥。

（3）EagleEye OAuth2 服务将使用提供的应用程序名称和密钥对应用程序进行验证，然后返回一个 OAuth2 访问令牌。

（4）每当应用程序调用 EagleEye 服务时，它就会出示它在 OAuth2 服务调用中接收到的 OAuth2 访问令牌。