OAuth 机器到机器通信

Question

如果通信仅适用于机器对机器，是否有必要使用 OAuth？现在，我正在使用 IP 限制加私钥。

Answer 1

使您的身份验证框架在部署在同一基础架构中的应用程序之间保持一致是很好的。

因此，如果您已经在环境中的某处使用 OAuth 2.0，则利用客户端凭据授权可能有利于服务器到服务器调用仍然使用相同的框架进行身份验证，但在授权流程中不需要任何用户。

流程非常简单：

1. 做一个POST从客户端应用程序的授权服务器请求

   POST https://api.oauth2server.com/token
       grant_type=client_credentials&
       client_id=CLIENT_ID&
       client_secret=CLIENT_SECRET
   

2. 接收包含 access_token 和刷新令牌的 OAuth 令牌响应

   {
     "access_token":"2YotnFZFEjr1zCsicMWpAA",
     "token_type":"example",
     "expires_in":3600,
     "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
     "example_parameter":"example_value"
   }