【发布时间】:2016-05-31 18:29:23
【问题描述】:
如果通信是机器对机器独有的,是否有必要使用 OAuth?现在,我正在使用 IP 限制加私钥。
【问题讨论】:
如果通信是机器对机器独有的,是否有必要使用 OAuth?现在,我正在使用 IP 限制加私钥。
【问题讨论】:
让您的身份验证框架在部署在同一基础架构中的应用程序之间保持一致是很好的。
因此,如果您已经在环境中的某处使用 OAuth 2.0,则利用 client credentials grant 可能有利于服务器到服务器调用仍然使用相同的框架进行身份验证,但在授权期间不需要任何用户流。
流程很简单:
从客户端应用程序向授权服务器发出POST 请求
POST https://api.oauth2server.com/token
grant_type=client_credentials&
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET
接收包含 access_token 和刷新令牌的 OAuth 令牌响应
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
【讨论】: