我有一个带有oAuth 2 Server实现的API来验证客户端。目前的API& oAuth服务器位于一台服务器上。我想知道我是否可以将oAuth服务器移动到其他位置并将其用作外部服务,但我不确定这是否是一个愚蠢的想法。
我的计划是:
客户 - > 请求(使用oAuth凭据) - > API.example.com - > 请求(使用oAuth凭据) - >的 oAuth.example.com
成功oAuth
oAuth.example.com - >返回成功 - > API.example.com (做一些工作) - >返回结果 - >的客户端
我想这样做是为了分离oAuth和API,因为我在过去遇到了一些技术问题,更新API会打破oAuth(如果底层技术发生变化)。
这个想法有什么风险吗?是否有任何资源可以让我更好地了解潜在的风险或问题?
答案 0 :(得分:0)
所以我通过Twitter问Phil Sturgeon,他回答说将oAuth服务器分离到不同的服务器或至少是一个不同的代码库是一个很好的做法,他当然也会使用它。他还在他的书中写了这篇文章#34;构建你赢得并不厌恶的API。
因为他一直在研究许多API& API驱动的项目我认为这是一个合法的来源和一个好的答案。