3

我公司为其他网站提供服务。我希望能够给他们一个简单的代码片段以嵌入他们的网站(如小部件),它将向我正在实施的服务发送查询,接收响应并在页面中呈现结果。我想尽量减少他们的努力,只给他们尽可能小的片段。这也是为什么我想把它全部保留在客户端。

问题是我想确保调用实际上是由我的客户发出的,而不是由从网站复制代码的任何其他人发出的。我查看了 Web 客户端 oauth2 流程,但似乎无法对客户端进行身份验证。它确实说有一种方法可以通过将回调 URL 与客户端向我的服务注册的 URL 进行比较来验证客户端。

我的问题:

  1. 有没有更好的方法?
  2. oauth2 客户端方法(包括所描述的验证客户端的方法)是否足够安全?
  3. 如果我去建议的实施,我应该注意什么?
4

1 回答 1

0

您可以使用 OAuth-2.0 中定义的客户端凭据授予授权。这将允许您为每个单独的客户端分配一个单独的客户端令牌和客户端密钥,并且他们发送令牌以获取访问令牌并使用访问令牌来请求数据。

或者您可以一起跳过 OAuth,并使用SOAP WS-Security和分配给每个客户端的证书来授权 Web 服务。

于 2012-06-15T07:22:57.767 回答