标签: oauth oauth-2.0
我正在实施OAuth安全API,并为每个客户端分配一个消费者密钥和密钥。我不想为客户分配单独的API密钥,我必须跟踪。我认为身份验证就是这样发生的:它们生成有效负载并用密钥和密钥对其进行签名,然后传输密钥。
在服务器上,我存储客户端密钥,由密钥键入。当我收到有效载荷时,我用他们的密钥来查找秘密,然后我用那个秘密解码有效载荷。所以秘密不会传播,但关键是。
所以我的问题是:这是一种处理这种情况的安全方法,还是我错过了一些重要的东西?
答案 0 :(得分:1)
如果您正在讨论客户端如何向授权服务器进行身份验证,则OAuth 2.0要求使用TLS保护端点,因此建议您使用Basic authentication。