我正在尝试找到解决以下问题的最佳方法:我们的应用程序是SaaS,它支持SAML进行Web登录.该应用程序还公开了应该在自动和无人参与进程中使用的REST API,这意味着没有交互式用户可以键入凭据.我们需要允许开发人员以编程方式针对相关IdP(已定义的身份验证无人参与进程)进行身份验证,因为用于API访问的相同凭据也可用于访问Web应用程序.
我想象的流程如下:程序使用专用API进行身份验证,获取令牌并使用令牌进行下一次调用.
我在寻找安全REST API的最佳方法时发现的大多数答案都提示oAuth,它通常需要交互式用户,因为他们讨论了一个交互式应用程序tryign,代表用户在其他系统中访问REST API,用户可以在其中输入在密码中.oAuth也是我挑战的答案吗?如果是这样,流量是多少?
谢谢!