使用 Client_credential oauth 授予是好是坏？ [关闭]

Question

我有几个 API 并构建了一个 Web 应用程序，该应用程序将使用这些 API 来加载和更新数据库中的数据。我已将 OAuth 服务器、API 端点配置为 OAuth 资源服务器，并将 Web 应用程序配置为 OAuth 客户端。

我正在考虑使用 SAML 进行身份验证和 OAuth 进行授权以保护 API 端点的想法。但是经过大量的研究和阅读，我找不到任何与春天相同的东西。

最初，我尝试了 Auth_code 授权，但它不适用于 SAML 身份验证，因为 OAuth 资源服务器也需要对用户进行身份验证。我将尝试在 OAuth 服务器上实现 pre_auth_filter 以查看它是否适用于 SAML 身份验证。但目前，我尝试了 OAuth 服务器的 client_credentials 授权。它运作良好。但是，如果 OAuth 客户端和服务器在同一网络上运行，那么从安全角度来看，为 Web 应用程序使用 client_credentials 授权是否是一种好方法？此外，如果 Web 应用程序部署在多台服务器上，它们是否可以共享相同的客户端 ID 和密码？

Answer 1

我见过的最常见的用法是使用带有 Oauth 2.0 框架的 Spring Security 进行身份验证和授权。在复杂的环境中，会有一个集中的身份验证服务器，负责对所有用户进行身份验证并
所有应用服务。在这种情况下，客户端服务的推荐选项是使用client_credentials 授权类型来验证自己。对于 RESTful 服务，Spring 为此提供了OAuth2RestTemplate。

客户端凭据将是每个应用程序服务而不是每个应用程序实例。

众所周知，保护传输中数据的最常用方法是使用 TLS (SSL) 传输数据。由于所有这些 Web 应用程序服务都在同一个网络上，因此您可以使用自签名证书。同样，每个服务的证书不是每个应用程序实例。不用说，对于公开暴露的资源，请使用由证书颁发机构签发的证书。