这似乎是一个奇怪的问题,但我一直在思考。
我有一个我希望人们使用的API,但是使用它的人们需要大量的OAuth2流程才能获得访问令牌。
我要向他们提供一个Web用户界面,而不是向我的用户抛出OAuth2授权代码授予要求,他们可以在其中复制可撤消的访问令牌并刷新令牌。
人们拥有令牌后,便可以将其插入客户端应用程序,而这些令牌就不存在了。如果需要吊销令牌,可以通过我的Web用户界面吊销它们。
对于服务器到服务器的连接,这似乎更“安全”?比OAuth2密码授予更高,因为通过强迫人们登录网站获取令牌,人们总是需要人们直接向我的系统提供用户名和密码。另一个中介系统在客户端系统和我的系统之间缓存凭证信息的可能性较小。
对此我的想法是否坚定,还是有点怀疑?允许用户完全跳过Oauth2授权代码流使我感到部分不对。