OAuth2“;“客户凭证”;格兰特:远程IP检查?
我正在开发一个只需要服务器访问的API,而不是特定的人工用户。我一直在使用客户机凭据授权,如果我没有弄错的话,它适用于这个用例 因此,远程网站/应用程序在注册了相应的OAuth2客户端后,只需通过SSL POST请求+HTTP基本身份验证,使用客户端ID/密码组合请求访问令牌 现在我想知道,在所述访问令牌请求期间,检查远程IP是否是一个好主意,以确保它实际上属于已注册的客户端(在声明应用程序时,您必须声明一个或多个IP,然后根据发出POST/令牌请求的服务器的远程IP进行检查). 我觉得这将是一个简单的方法来确保,即使客户ID/机密以某种方式被盗,它们也不会在任何地方都可用 作为OAuth2协议的新手,我需要一些关于这是否是一种有效方法的信息。有没有更聪明的方法来做到这一点,或者直接说是没有必要的(在这种情况下,原因是什么)OAuth2“;“客户凭证”;格兰特:远程IP检查?,oauth,oauth-2.0,Oauth,Oauth 2.0,我正在开发一个只需要服务器访问的API,而不是特定的人工用户。我一直在使用客户机凭据授权,如果我没有弄错的话,它适用于这个用例 因此,远程网站/应用程序在注册了相应的OAuth2客户端后,只需通过SSL POST请求+HTTP基本身份验证,使用客户端ID/密码组合请求访问令牌 现在我想知道,在所述访问令牌请求期间,检查远程IP是否是一个好主意,以确保它实际上属于已注册的客户端(在声明应用程序时,您必须声明一个或多个IP,然后根据发出POST/令牌请求的服务器的远程IP进行检查). 我觉得这将是一
提前感谢这当然是一种有效的方法,但将令牌紧密绑定到网络层和部署,这可能会使更改网络体系结构变得困难。OAuth解决您的问题的方式是通过所谓的占有证明扩展
也许值得考虑实现:尽管它还不是一个最终的规范,它将令牌绑定到客户端,而不是IP地址,这样可以防止网络更改,并且更能经得起未来的考验。这当然是一种有效的方法,但将令牌紧密绑定到网络层和部署,这可能会使更改网络体系结构变得困难。OAuth解决您的问题的方式是通过所谓的占有证明扩展
也许值得考虑实现:尽管它还不是一个最终的规范,它将令牌绑定到客户端,而不是IP地址,这样可以防止网络更改,并且更能经得起未来的考验。这当然是一种有效的方法,但将令牌紧密绑定到网络层和部署,这可能会使更改网络体系结构变得困难。OAuth解决您的问题的方式是通过所谓的占有证明扩展
也许值得考虑实现:尽管它还不是一个最终的规范,它将令牌绑定到客户端,而不是IP地址,这样可以防止网络更改,并且更能经得起未来的考验。这当然是一种有效的方法,但将令牌紧密绑定到网络层和部署,这可能会使更改网络体系结构变得困难。OAuth解决您的问题的方式是通过所谓的占有证明扩展
也许值得考虑实现这一点:尽管它还不是一个最终的规范,但它将令牌绑定到客户端,而不是IP地址,这样可以防止网络更改,并且更适合未来。非常有趣——事实上,它看起来是OAuth正确的寻址方式。我不确定我是否会立即尝试并实现它(可能需要一点时间),但至少我知道目标是什么。谢谢仅供参考,本草案于2017年1月9日到期。现在,这可能更为相关:非常有趣——事实上,看起来是OAuth解决这个问题的正确方法。我不确定我是否会立即尝试并实现它(可能需要一点时间),但至少我知道目标是什么。谢谢仅供参考,本草案于2017年1月9日到期。现在,这可能更为相关:非常有趣——事实上,看起来是OAuth解决这个问题的正确方法。我不确定我是否会立即尝试并实现它(可能需要一点时间),但至少我知道目标是什么。谢谢仅供参考,本草案于2017年1月9日到期。现在,这可能更为相关:非常有趣——事实上,看起来是OAuth解决这个问题的正确方法。我不确定我是否会立即尝试并实现它(可能需要一点时间),但至少我知道目标是什么。谢谢仅供参考,本草案于2017年1月9日到期。这可能更相关:嗨!你最后决定用什么?:)你好你最后决定用什么?:)你好你最后决定用什么?:)你好你最后决定用什么?:)