机器加工REST认证

Question

如果您在不同的子域（accounts.site.com，training.site.com等）上运行多个RESTful Web服务，当一个服务需要使用另一个服务时，什么是良好的身份验证机制？

人工身份验证很容易，因为他们提供了登录凭据并获取了一个JSON Web令牌，然后随每个请求一起发送以对其进行身份验证。

拥有用户名和密码的机器似乎很奇怪，所以我想知道解决这个问题的方法是什么？

Answer 1

这取决于......从服务的角度来看，其他服务只是一个REST客户端，所以让我们坚持使用这些术语。

• 如果要使用REST客户端访问不同的用户帐户，则必须通过该服务注册客户端，您将获得API密钥。用户可以为该API密钥授予权限，因此如果他们允许，您可以使用服务用户的名称来执行操作。
• 另一方面，如果您的客户只想访问自己的帐户，那么它只是该服务的常规用户，并且可以像其他用户一样拥有用户名和密码。