我们有一个应用程序被部署为我们客户的实例。然后,这些实例使用 REST API 与我们的计费和管理 Web 服务进行通信。
这是一个图表:
永远不会公开可用,Billing and management service只有在我们为Customer Instance. 由于这是一个服务器到服务器的接口,我觉得这2 legged OAuth是最好的选择。
Customer instance它还包含一个 API(也是 RESTful)。第三方开发人员可以为其构建应用程序,因此我们将使用并3 legged OAuth遵循 Facebook 的模型。
但是,我们也希望能够允许Billing/Management访问该 API(也在客户实例上)。
- 我们应该如何验证这个区域?我们也应该使用 2 腿 OAuth 吗?
- 在同一个 API 端点上同时运行 2 条腿 OAuth 和 3 条腿 OAuth 会导致安全隐患吗?
我们计划使用 OAuth 2.0,所有的部分和服务都是用 PHP 编写的。