有食品订购系统。大约有12或13个API。
最终用户无需登录系统即可搜索餐馆,食品,过滤物品等。登录只需要下订单,查看过去的订单等。因此,对于10个API,我不需要用户登录。
10个API(需要验证第三方)
其余的(需要验证第三方以及用户)
到目前为止我见过的oAuth 2.0解决方案,他们立即要求用户登录,这是我不想要的。
如果有人花时间解释可能的解决方案以及所有这些解决方案如何组合在一起,那对我真的很有帮助。
答案 0 :(得分:0)
如果不需要身份验证,则该信息为“公共”,不需要OAuth 2.0保护。
WEB应用程序需要使用OAuth 2.0访问API的WEB应用程序调用API并不罕见,但最终用户与API无关。因此,WEB应用程序需要OAuth 2.0 client_id来访问API。客户端凭据授权是针对此用例设计的:(RFC 6749 Section 1.3.4)
授权范围仅限于受保护资源 在客户的控制下......当客户对其进行操作时 代表自己
然后,WEB应用程序可能会在某个时候使用OpenID Connect对最终用户进行身份验证,以访问某些“受保护资源”。