在阅读REST API和安全性时,您总是将OAuth 2.0视为身份验证的灵丹妙药。但实际上深入了解规范,真正的OAuth 2.0要求服务和身份验证提供程序是分开的,主要是因为身份验证提供程序可用于多种服务。客户端也不受信任,也没有凭证。如果您的服务和身份验证提供程序相同,OAuth似乎过于复杂。
除此之外,许多API只是将某种客户端ID /客户端秘密用于承载令牌流。哪个不比会话中的用户名/密码好。
答案 0 :(得分:0)
您在Auth [-Provider]和Service-Provider之间分配,但实际上涉及3件:
认证和服务提供商通常由同一方完成。
如果您需要OAuth,则取决于服务使用者。如果您希望第三方应用程序使用您的用户服务,OAuth非常有用。