我们正在创建注册第三方可以使用的Spring Boot REST服务。
我们为第三方提供了JWT格式的唯一API密钥,其中包含该方可以使用的服务的授权。
JWT已安全地提供给第三方,他们需要将其包含在Authorization:Bearer标头中对API的请求中。
有一个新的用例,我们的API需要调用其他方的OAUTH2授权服务。他们可能会使用OAUTH2.0授权代码流程。这意味着调用我们的API的第三方需要重定向到另一方的授权服务器进行身份验证并生成oauth令牌。
问题
我们现在遇到的问题是,我们可以重构我们的JWT令牌以包含来自另一方的oauth令牌吗?
那么流程怎么样呢?
或者我们应该继续使用2个不同的标头并将我们的API密钥JWT令牌存储在另一个标头中,然后是Authorization标头?