我有一个网站,用户可以在其中进行各种活动。 接收这些积分的方法之一是从允许我发送它们的第三方应用程序中获得。
我希望仅当用户在两个站点上登录时才分配积分。因此,流程如下所示:
我的挑战是弄清楚使数据发送到我的网站的最佳方法(我将指导发件人/第三方应用程序如何做)是足够安全的,因此没有人可以伪造积分转让。尤其是其中一个参数是点数,我想如果有人了解POST请求的样子,就像他可以伪造该参数一样。
我一直在研究OAuth2 Client credentials grant,但不确定OAuth2是否适合我想要实现的目标,或者可能是? 事实是,OAuth2会在我的流程中再增加一步:
第三方(请求访问令牌)->
主应用程序(登录和释放令牌)->
那么,从第三方应用发出一些安全的POST请求的最佳方法是什么?