我们有一个客户想要从他们的系统调用我们的Web服务。 我们不验证客户端系统用户,而只验证客户端公司。 (是 - OAuth2用于授权,但我们将使用Open ID Connect) 客户希望使用Javascript(JQuery)访问我们的服务。
我对拨款类型的分析(见下文)并没有给我一个明确的答案。
授权码:这需要委托客户端登录(即 - 用户登录页面) 隐式 - 这还需要委派的客户端登录,但是基于浏览器的调用的推荐模型。 密码 - 通过用户名和密码登录。可能的候选人最安全的。 客户端凭据 - 这似乎是推荐给应用客户端的凭据,但是通过jquery发送客户端机密似乎并不安全。
这似乎是B2B网络服务中的常见情况,但规范并没有给我一个明确的答案。
在这种情况下使用哪种适当的授权类型? 感谢
答案 0 :(得分:0)
我想你应该建议你的合作伙伴创建一个位于JQuery和外部世界之间的Web服务。
然后,此Web服务将保留客户端机密,并通过Client Credential的OAuth流与您的API进行身份验证。