2-legged OAuth 有哪些真实场景?它仅适用于移动/桌面应用程序吗?
问问题
1068 次
2 回答
1
当客户端想要访问某些资源而不向资源 API 透露其主要客户端凭据时,2-legged OAuth(又名 OAuth 2.0 中的客户端凭据流)很有用。客户端将向授权服务器进行身份验证以获取派生令牌,该令牌可以呈现给资源 API 以访问受保护的资源。
获取令牌并呈现它是以标准化和可互操作的方式完成的,而无需使用不同的身份验证机制来纠缠资源 API。它还使撤销访问更容易,因为它在授权服务器上以集中方式控制,独立于客户端的主要凭据。另请参阅:2-legged oauth 在 OAuth 2.0 中如何工作?
它适用于移动、桌面和 Web 应用程序,尽管在移动和桌面应用程序中保持客户端机密可能很难,因此它最适合服务器端环境。
现实世界的场景是一个批处理脚本,它从远程 API 获取数据并对其进行处理。
于 2015-05-07T07:30:42.547 回答
0
2 legged auth 用于代表应用程序的服务器到服务器身份验证,不涉及最终用户。
例如,您在 Google AppEngine 上的应用程序向 Datastore(来自 Google Cloud 的数据库)发出请求。这将 2 条腿身份验证与 JWT 一起使用。
相反,如果您的应用程序代表最终用户请求读取用户的 Google Drive 文件,则使用 3 legged auth。
于 2019-06-18T15:01:52.190 回答