我正在构建一个可供我们的开发人员(编写网站)和第三方使用的API。看来OAuth非常适合这里,我相信我们需要实现两条腿和三条腿的OAuth,因为: a)它保持API一致。 b)它允许我们保持开发人员注册的一致性。
以上看似乎是正确的吗?
此外,我对双腿OAuth有一个棘手的问题。它要求客户端在每次交易中都发回一个'Bearer'标题,这对我来说并不合适......客户端将此添加到每个服务器调用中似乎很麻烦,而且它似乎增加了复杂性跨页转换维护此承载令牌。是否有关于如何维护双腿OAuth会话的标准 - 例如将持有者令牌发送到cookie中的客户端是否有意义,以便客户端不需要手动将其添加到每次调用的麻烦?