OAuth 2.0 是否适合我的用例?
is OAuth 2.0 appropriate for my use-case?
我正在构建一个 restful API,允许用户以编程方式(通过 CURL/HTTP)访问和管理他们自己的资源,而不是使用我们提供的仪表板。
我有自己的授权服务器和资源服务器,因此不涉及第 3 方。我在使用 OAuth 2.0 和简单的 API 键之间左右为难。 OAuth 2.0 看起来有点矫枉过正,但我不想发布 public API 然后在将来更改授权方法。
是否可以构建一个混合解决方案,用户可以登录仪表板,生成“刷新令牌”,指定范围,然后复制此刷新令牌并在自己的代码中使用它来调用/token 端点并获取访问令牌?
这与 OAuth 2.0 类似,不同之处在于授权步骤是由经过身份验证的用户在第一方仪表板上直接完成的。这是一个合法的解决方案吗?您还有其他推荐吗?
OAuth2 是外包 user/password/MFA 管理,与社交登录集成。您似乎已经在仪表板中管理用户。在此基础上,只要您在 api/resource 服务器中签名并验证签名,就可以按照您的描述发布手动访问令牌。
我正在构建一个 restful API,允许用户以编程方式(通过 CURL/HTTP)访问和管理他们自己的资源,而不是使用我们提供的仪表板。
我有自己的授权服务器和资源服务器,因此不涉及第 3 方。我在使用 OAuth 2.0 和简单的 API 键之间左右为难。 OAuth 2.0 看起来有点矫枉过正,但我不想发布 public API 然后在将来更改授权方法。
是否可以构建一个混合解决方案,用户可以登录仪表板,生成“刷新令牌”,指定范围,然后复制此刷新令牌并在自己的代码中使用它来调用/token 端点并获取访问令牌?
这与 OAuth 2.0 类似,不同之处在于授权步骤是由经过身份验证的用户在第一方仪表板上直接完成的。这是一个合法的解决方案吗?您还有其他推荐吗?
OAuth2 是外包 user/password/MFA 管理,与社交登录集成。您似乎已经在仪表板中管理用户。在此基础上,只要您在 api/resource 服务器中签名并验证签名,就可以按照您的描述发布手动访问令牌。