Api 使用oAuth身份验证代码授权类型,如何确保客户端和用户代理之间的安全通信?
我已经讨论了oAuth身份验证代码授权类型,从我所读到的内容来看,我了解到当您想让令牌远离用户代理时,您可以在隐式授权之上使用身份验证代码授权。这允许您确保客户端和后端API之间的通信安全。但是,一旦您这样做了,并且客户机拥有了与api通信所需的令牌,那么客户机和用户代理应该如何安全地通信呢Api 使用oAuth身份验证代码授权类型,如何确保客户端和用户代理之间的安全通信?,api,security,authentication,oauth,Api,Security,Authentication,Oauth,我已经讨论了oAuth身份验证代码授权类型,从我所读到的内容来看,我了解到当您想让令牌远离用户代理时,您可以在隐式授权之上使用身份验证代码授权。这允许您确保客户端和后端API之间的通信安全。但是,一旦您这样做了,并且客户机拥有了与api通信所需的令牌,那么客户机和用户代理应该如何安全地通信呢 我打算让客户端拥有它自己的API,用户代理可以访问它,它将使用访问令牌访问后端API。我可以通过在用户代理和客户机服务器之间实现隐式授权oauth来确保通信的安全性,但这似乎不必要地复杂,因为您将有两层oa
我打算让客户端拥有它自己的API,用户代理可以访问它,它将使用访问令牌访问后端API。我可以通过在用户代理和客户机服务器之间实现隐式授权oauth来确保通信的安全性,但这似乎不必要地复杂,因为您将有两层oauth。我觉得我误解了这里的某些内容,因此对此进行任何澄清都会有所帮助。在本场景中,我们讨论的是两个API的安全性: 1.客户端正在使用的后端API 安全性:此处使用OAuth身份验证代码授权类型来保护此后端api,以便客户端可以使用使用身份验证代码接收的访问令牌访问此后端api 此处用户代理仅用于获取身份验证代码,以获取访问API的访问令牌。 2.客户端自己的API-用户将使用该API访问后端API检索的数据 安全性:此API的开发人员需要根据客户端和许多其他因素实现此API的安全性。现在有许多协议和技术来保护API,例如:使用基本身份验证、Oauth 1.0a或誓言2、JSON Web令牌(JWT)、使用API密钥等。您可以找到许多资源 关于如何保护API 此处将使用用户代理访问客户端自己的API。 结论: 这里需要注意的是,客户端自己的API的安全实现与后端API的安全实现无关。这是两个不同的API,用于两个不同的目的,它们有自己的安全实现 用户代理用于在第一个场景中获取身份验证代码(即访问后端API),并将用于在中访问客户端自己的API(在接收到访问令牌后)