【发布时间】:2017-07-26 09:41:07
【问题描述】:
我们希望对服务器-服务器 HTTPS 通信(我们控制两个服务器)进行简单的授权,就像经典的 API_KEY:客户端硬编码(在配置中)一个在每个请求中使用的密钥。服务器检查密钥是否有效。
我们的同事已经将其实现为 OAuth2 Bearer token (RFC6750)
Authorization: Bearer client_key
所以客户端在配置中有client_key,它永远不会刷新。它运作良好,我们只是在公司中存在哲学争议,这种“硬编码”承载令牌是否与 OAuth2 一起使用。 (免责声明:我不支持争议的任何一方。)
【问题讨论】:
标签: oauth-2.0