两条腿OAuth有哪些真实场景? 它是否仅适用于移动/桌面应用程序?
答案 0 :(得分:1)
当客户端想要访问某些资源而不向资源API公开其主要客户端凭据时,两脚OAuth(也称为OAuth 2.0中的客户端凭据流)非常有用。客户端将向授权服务器进行身份验证,以获取它可以呈现给资源API的派生令牌,以访问受保护资源。
获取令牌并呈现它是以标准化和可互操作的方式完成的,而不会使用不同的身份验证机制来破坏资源API。它还使得访问的撤销更容易,因为它在授权服务器上以集中方式进行控制,而与客户端的主要凭证无关。另见:How does 2-legged oauth work in OAuth 2.0?
它适用于移动,桌面和Web应用程序,尽管在移动和桌面应用程序中保密客户端可能很难,因此它最适合在服务器端环境中使用。
真实场景是一个批处理脚本,它从远程API获取数据并对其进行处理。
答案 1 :(得分:0)
2条腿身份验证用于代表应用程序进行服务器到服务器的身份验证,不涉及最终用户。
例如,您在Google AppEngine上的应用程序向数据存储区(来自Google Cloud的数据库)发出请求。这对JWT使用2条腿式身份验证。
相反,如果您的应用程序代表最终用户发出请求以读取用户的Google云端硬盘文件,则会使用3条腿的身份验证。