Api 使用oAuth身份验证代码授权类型，如何确保客户端和用户代理之间的安全通信？

我已经讨论了oAuth身份验证代码授权类型，从我所读到的内容来看，我了解到当您想让令牌远离用户代理时，您可以在隐式授权之上使用身份验证代码授权。这允许您确保客户端和后端API之间的通信安全。但是，一旦您这样做了，并且客户机拥有了与api通信所需的令牌，那么客户机和用户代理应该如何安全地通信呢

---

我打算让客户端拥有它自己的API，用户代理可以访问它，它将使用访问令牌访问后端API。我可以通过在用户代理和客户机服务器之间实现隐式授权oauth来确保通信的安全性，但这似乎不必要地复杂，因为您将有两层oauth。我觉得我误解了这里的某些内容，因此对此进行任何澄清都会有所帮助。

在本场景中，我们讨论的是两个API的安全性：

1.客户端正在使用的后端API

安全性：此处使用OAuth身份验证代码授权类型来保护此后端api，以便客户端可以使用使用身份验证代码接收的访问令牌访问此后端api

此处用户代理仅用于获取身份验证代码，以获取访问API的访问令牌。

2.客户端自己的API-用户将使用该API访问后端API检索的数据

安全性：此API的开发人员需要根据客户端和许多其他因素实现此API的安全性。现在有许多协议和技术来保护API，例如：使用基本身份验证、Oauth 1.0a或誓言2、JSON Web令牌（JWT）、使用API密钥等。您可以找到许多资源 关于如何保护API

此处将使用用户代理访问客户端自己的API。

结论：

这里需要注意的是，客户端自己的API的安全实现与后端API的安全实现无关。这是两个不同的API，用于两个不同的目的，它们有自己的安全实现

用户代理用于在第一个场景中获取身份验证代码（即访问后端API），并将用于在中访问客户端自己的API（在接收到访问令牌后）