我有一个专用API,我希望第三方客户端在不向客户端发送敏感信息(例如密码)的情况下进行授权。在这种情况下,通常的流程是:
此流程的问题是当我们向他发送一次令牌时。如果有人先使用它,他将收到他想要的所有数据。
各处都使用Atm非对称加密,https(ssl)以此为基础。我想知道是否存在非对称身份验证。我看到的是:
client_private_token,client_secret_token,server_public_token,server_secret_token。server_public_token client_private_token生成一些session_token并将其与每个需要授权的请求一起发送server_private_token和user_public_token来验证此session_token是否有效。 该流程与ssl非常相似,但是我们没有加密数据,而是生成了证明它是我们的魔术字符串。
请不要将其与JWT混淆,因为JWT只是带有某些信息和服务器签名的有效负载。要创建JWT用户,首先需要授权。
如果有这样的事情,那么拥有java,js,python等现代语言的客户也是很棒的