我正在使用 Play 2.0 和 Scala 开发一个应用程序，该应用程序公开了一些REST API。这些API将在Web，移动或桌面的不同应用程序中使用，因此OAuth协议(protocol)(OAuth2)似乎是最合适的。

另外，我最初会使用外部OAuth Provider，例如Facebook。

我的问题是:授权各个REST调用的确切流程是什么？在服务器端，对于每个 call 我应该期望什么，应该与外部提供商核对一下？

使用OAuth1，我知道客户端发送了带有所有已签名请求的 token ，但是使用Oauth2，我认为不是这样，我想如果不对 token 进行签名就不受信任，因此我不认为这是流程。

您可以使用一个称为SecureSocial的模块。

https://github.com/jaliss/securesocial/

此功能相当精致，Play社区中的许多人似乎都知道/正在使用此模块。

对于授权可能很有用。
https://github.com/schaloner/deadbolt-2/

对于端到端的Scala东西，
https://github.com/t2v/play20-auth