4

我正在开发一个 API,我们的客户公司将使用它来访问公司特定的数据。我们已经基本准备好 API,现在正在研究如何保护通信。显而易见的选择是 OAuth(2?),但在我们的例子中,对 API 的访问不是特定于用户,而是特定于公司。

例如,我们将有一个连接到 API 的移动应用程序,并且选择安装该应用程序的特定公司的每个人都应该可以访问 API,而无需任何额外的身份验证/OAuth 舞蹈。

高级别的想法是使用共享密钥对特定客户端应用程序进行硬编码,以便它们只能访问正确的数据 - 这不是 OAuth,而是一些自定义解决方案......但在某些时候,它可能是可能的我们还将在 OAuth 更合适的情况下按个人权限进行个人操作,因此基于标准和未来友好的东西是理想的解决方案。

任何指针?只是试图以最佳角度填补空白以继续前进。仔细阅读,这似乎类似于服务器到服务器模型,Apigee 建议不要使用 OAuth。

4

1 回答 1

3

是的,这绝对不是OAuth 旨在解决的问题。Apigee 对双向 SSL 的建议是服务器到服务器身份验证/授权的正确方法。您为每台服务器颁发一个 x509 证书,当它们彼此发起 SSL 连接时,它们会验证彼此的证书是否来自受信任的来源。此功能内置于大多数服务器开发平台中,设置起来并不难。

于 2012-07-09T04:05:58.047 回答