我正在开发一个 API,我们的客户公司将使用它来访问公司特定的数据。我们已基本准备好 API,现在正在研究如何确保通信安全。显而易见的选择是 OAuth(2?),但在我们的例子中,对 API 的访问不是特定于用户的,而是特定于公司的。
例如,我们将有一个连接到 API 的移动应用程序,并且给定公司中选择安装该应用程序的每个人都应该能够访问 API,而无需任何额外的身份验证/OAuth 舞蹈。
高层的想法是使用共享密钥对特定的客户端应用程序进行硬编码,以便它们只能访问正确的数据 - 这不是 OAuth,而是一些自定义解决方案......但在某些时候,这可能是可能的我们还将逐个执行单独的权限,其中 OAuth 更合适,因此基于标准且面向未来的解决方案是理想的解决方案。
有什么指点吗?只是试图以最佳角度填补空白,以继续前进。环顾四周,这似乎与服务器到服务器模型类似,Apigee 建议不要使用 OAuth。
是的,这绝对不是OAuth 旨在解决的问题。Apigee 建议的双向 SSL 是服务器到服务器身份验证/授权的正确方法。您向每台服务器颁发 x509 证书,当它们相互启动 SSL 连接时,它们会验证彼此的证书是否来自受信任的来源。大多数服务器开发平台都内置了此功能,并且设置起来并不困难。
| 归档时间: |
|
| 查看次数: |
338 次 |
| 最近记录: |