我想在我们的基础架构上实现一个新的基于 REST 的API ,而OAuth似乎是要走的路。
对于我们的实现,首先只有服务器到服务器的访问,这将是完全不受限制的。我相信这被称为两条腿授权。
稍后,我们希望允许浏览器使用 API,这将使我们的授权变成三足。
是否有一个很好的起点来实施这一点?我们如何才能完全授权服务器并为每个用户添加受限授权?
OAuth 规范在这些场景中并没有真正的帮助,但我相信这意味着我们需要为服务器到服务器的访问创建一个永不过期的会话,然后为仅限用户的 API 添加具有有限访问权限的正常会话。
我希望找到更多信息的起点,让我知道!
OAuth 适合我吗?我只是在寻找一个经过身份验证的请求系统,并且这种场景中只存在消费者和服务提供者。终端用户不进来玩!