Oli*_*hee 6 api basic-authentication oauth-2.0
我一直在考虑使用 oauth2 客户端凭据授予来保护我的 API(所有用户都将是受信任的第三方)。我在这里遵循与贝宝相同的方法:https ://developer.paypal.com/docs/integration/direct/paypal-oauth2/
但是,我看到 HTTP:// basic auth 用于获取不记名令牌。然后,使用不记名令牌来保护 API 调用的安全。
我不明白的是,如果您要信任 TLS 和 http: basic auth 来检索不记名令牌 - 为什么不只使用 http: basic auth 进行 API 调用?使用不记名代币有什么好处?
我缺少什么?
访问令牌提供了一种抽象,为资源服务器理解的单个令牌替换了不同的授权结构(例如,用户名和密码、断言)。这种抽象使得能够颁发在短时间内有效的访问令牌,并且消除了资源服务器了解各种身份验证方案的需要。
授权请求并为您提供承载令牌的服务器可能与实际控制您尝试访问的资源的服务器不同。
根据 RFC,它们被显示为两个不同的实体。为您提供承载令牌的服务器是授权服务器,而为您提供资源的服务器是资源服务器。
| 归档时间: |
|
| 查看次数: |
3525 次 |
| 最近记录: |