我们希望对服务器 - 服务器HTTPS通信(我们控制两个服务器)进行简单授权,如经典API_KEY:客户端已经硬编码(在配置中)一个在每个请求中使用的密钥。服务器检查密钥是否有效。
我们的同事已将其实施为OAuth2 Bearer令牌(RFC6750)
Authorization: Bearer client_key
因此客户端在配置中有client_key,它永远不会刷新。它运作良好,我们在公司中只有一个哲学上的争议,如果这样的“硬编码”承载令牌与OAuth2一起使用。 (免责声明:我不在争议的任何一方。)
答案 0 :(得分:1)
OAuth 2.0协议基本上定义了access_token - 这是一个在时间和权限上绑定的令牌 - 以及两个协议“腿”:
您不使用访问令牌(因为您的令牌没有以任何方式绑定),并且您只是“语法上”实现了第2部分。事实上,在这种情况下,您实际上并未实现OAuth 2.0。您可以在HTTP Basic标头或查询参数中同时显示client_key,它与OAuth 2.0无关,除非您借用(可以说是滥用......)其标题名称和格式