【问题标题】:OAuth2 Bearer token used like API_KEY像 API_KEY 一样使用的 OAuth2 Bearer 令牌
【发布时间】:2017-07-26 09:41:07
【问题描述】:

我们希望对服务器-服务器 HTTPS 通信(我们控制两个服务器)进行简单的授权,就像经典的 API_KEY:客户端硬编码(在配置中)一个在每个请求中使用的密钥。服务器检查密钥是否有效。

我们的同事已经将其实现为 OAuth2 Bearer token (RFC6750)

Authorization: Bearer client_key

所以客户端在配置中有client_key,它永远不会刷新。它运作良好,我们只是在公司中存在哲学争议,这种“硬编码”承载令牌是否与 OAuth2 一起使用。 (免责声明:我不支持争议的任何一方。)

【问题讨论】:

    标签: oauth-2.0


    【解决方案1】:

    OAuth 2.0 协议基本上定义了一个access_token - 这是一个受时间和权限约束的令牌 - 以及两个协议“腿”:

    1. 如何获取和访问令牌
    2. 如何使用/提供访问令牌

    您不使用访问令牌(因为您的令牌没有以任何方式绑定)并且您只是“从语法上”实现了第 2 部分。事实上,在这种情况下您实际上并没有实现 OAuth 2.0。您也可以在 HTTP Basic 标头或查询参数中显示 client_key,它与 OAuth 2.0 无关,只是您借用(可以说:滥用...)其标头名称和格式。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-06-09
      • 1970-01-01
      • 2019-06-18
      • 2016-05-06
      • 2019-02-18
      相关资源
      最近更新 更多