我正在構建一個 RESTful API,它允許用戶以編程方式(通過 CURL/HTTP)訪問和管理他們自己的資源,而不是使用我們提供的儀表板。
我有自己的授權服務器和資源服務器,因此不涉及第 3 方。我在使用 OAuth 2.0 和簡單的 API 密鑰之間糾結。OAuth 2.0 似乎有點矯枉過正,但我??不想在未來發布公共 API 然后更改授權方法。
是否可以構建一個混合解決方案,用戶可以登錄到儀表板,生成“重繪 令牌”,指定范圍,然后復制此重繪 令牌并在自己的代碼中使用它來呼叫 /token 端點和獲取訪問令牌?
這與 OAuth 2.0 類似,只是授權步驟由經過身份驗證的用戶直接在第一方儀表板上完成。這是一個合法的解決方案嗎?您還有其他建議嗎?
uj5u.com熱心網友回復:
OAuth2 是外包用戶/密碼/MFA 管理,與社交登錄集成。您似乎已經在儀表板中管理用戶。在此基礎上,只要您在 api/resource 服務器中對其進行簽名并驗證簽名,就可以按照您的描述發布手動訪問令牌。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/464116.html