Api 当Auth和服务提供者相同时,OAuth有用吗?
在阅读RESTAPI和安全性时,您总是将OAuth2.0视为身份验证灵丹妙药。但实际上,真正的OAuth 2.0要求服务和身份验证提供者是分开的,主要是为了使身份验证提供者可以用于多个服务。此外,客户端不受信任且未提供凭据。如果您的服务和身份验证提供者是相同的,那么OAuth看起来过于复杂Api 当Auth和服务提供者相同时,OAuth有用吗?,api,authentication,oauth,Api,Authentication,Oauth,在阅读RESTAPI和安全性时,您总是将OAuth2.0视为身份验证灵丹妙药。但实际上,真正的OAuth 2.0要求服务和身份验证提供者是分开的,主要是为了使身份验证提供者可以用于多个服务。此外,客户端不受信任且未提供凭据。如果您的服务和身份验证提供者是相同的,那么OAuth看起来过于复杂 除此之外,许多API只在承载令牌流中使用某种类型的客户机id/客户机机密。这不比进入会话的用户名/密码好多少 您在Auth[-Provider]和服务提供商之间进行了拆分,但实际上涉及三个部分: 认证。 服务
除此之外,许多API只在承载令牌流中使用某种类型的客户机id/客户机机密。这不比进入会话的用户名/密码好多少 您在Auth[-Provider]和服务提供商之间进行了拆分,但实际上涉及三个部分: 认证。 服务提供商。 服务消费者。 身份验证和服务提供者由同一方完成是很常见的 如果您需要OAuth或不需要OAuth,这取决于服务使用者。如果您希望第三方应用程序代表用户使用您的服务,OAuth非常有用