我正在构建一个可供我们的开发人员(编写网站)和第三方使用的 API。似乎 OAuth 在这里很合适,而且我认为我们需要同时实现 2-legged 和 3-legged OAuth,因为:a) 它使 API 保持一致。b) 它允许我们保持开发者注册的一致性。
以上似乎正确吗?
此外,我对 2-legged OAuth 有一个烦人的问题。它要求客户端在每笔交易中发回一个“承载”标头,这对我来说并不合适……客户端将其添加到每个服务器调用中似乎很繁重,而且它似乎进一步增加了复杂性跨页面转换维护此承载令牌。是否有关于如何维护 2-legged OAuth 会话的任何标准 --- 例如,将 Bearer 令牌通过 cookie 发送给客户端是否有意义,以便客户端不需要添加的麻烦它手动到每个调用?