[英]Why use Client Credentials flow?
我一直在尋找使用oauth2客戶端憑據授權來保護我的API(所有用戶都將成為第三方信任的用戶)。 我在這里采用與paypal相同的方法: https : //developer.paypal.com/docs/integration/direct/paypal-oauth2/
但是,我看到HTTP:// basic auth用於獲取承載令牌。 然后,承載令牌用於保護API調用。
我不明白的是,如果您要信任TLS和http:basic auth來檢索承載令牌 - 為什么不使用http:basic auth進行API調用? 使用承載令牌有什么好處?
我錯過了什么?
除了Ankit Saroch所說的內容之外,與Tokens一起采用OAuth方式可能會在未來開辟其他可能性; 假設您可能希望擴展流程以包含用戶信息。 通過僅驗證令牌,這意味着您可能不需要在服務中更改令牌驗證(這很簡單),而只需要更改身份驗證和授權步驟。
但顯然你說的是對的:客戶端憑證OAuth流並不比簡單地使用API密鑰或基本身份驗證等技術更安全 。 所有這些都依賴於客戶端的機密(它可以保留自己的憑據)。
OAuth規范( https://tools.ietf.org/html/rfc6749#section-2.1 )討論了這些客戶端類型。 總的來說,實際上值得閱讀規范。
訪問令牌提供抽象,替換資源服務器理解的單個令牌的不同授權構造(例如,用戶名和密碼,斷言)。 這種抽象使得能夠在短時間內發布有效的訪問令牌,以及消除資源服務器理解各種身份驗證方案的需要。
授權請求並為您提供承載令牌的服務器可能與實際控制您嘗試訪問的資源的服務器不同。
根據RFC,它們被顯示為兩個不同的實體。 授予您承載令牌的是授權服務器 ,服務資源的是資源服務器 。
API 密鑰和 OAuth 的客戶端憑據流之間的安全區別是什么?
[英]What is the security difference between API Keys and the client credentials flow of OAuth?
使用OAuth2客戶端憑據流保護用PHP編寫的REST API
[英]Securing a REST API written in PHP with OAuth2 client credentials flow
Spotify API - Kotlin 中的客戶端憑證流與 Retrofit 不起作用
[英]Spotify API - Client Credentials Flow in Kotlin with Retrofit doesnt work
使用客戶端憑據流以編程方式在Azure AD中添加應用程序
[英]Adding Applications programmatically in Azure AD using Client Credentials Flow
我正在使用 php 通過 PHP 和客戶端憑據流連接到 spotify 的 API
[英]I am using php to connect to spotify's API with PHP and with the client credentials flow
無法從 Dialog Flow 訪問客戶端訪問令牌,我需要在 Angular 應用程序中使用
[英]Couldn't able to access the client access token from Dialog Flow, I need to use in Angular Application
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
