我正在开发一个 API,我们的客户公司将使用它来访问公司特定的数据。我们已经基本准备好 API,现在正在研究如何保护通信。显而易见的选择是 OAuth(2?),但在我们的例子中,对 API 的访问不是特定于用户,而是特定于公司。
例如,我们将有一个连接到 API 的移动应用程序,并且选择安装该应用程序的特定公司的每个人都应该可以访问 API,而无需任何额外的身份验证/OAuth 舞蹈。
高级别的想法是使用共享密钥对特定客户端应用程序进行硬编码,以便它们只能访问正确的数据 - 这不是 OAuth,而是一些自定义解决方案......但在某些时候,它可能是可能的我们还将在 OAuth 更合适的情况下按个人权限进行个人操作,因此基于标准和未来友好的东西是理想的解决方案。
任何指针?只是试图以最佳角度填补空白以继续前进。仔细阅读,这似乎类似于服务器到服务器模型,Apigee 建议不要使用 OAuth。