gpt4 book ai didi

用于基于组权限的 API 的 OAuth

转载 作者:行者123 更新时间:2023-12-03 14:51:01 24 4
gpt4 key购买 nike

我正在开发一个 API,我们的客户公司将使用它来访问公司特定的数据。我们已经基本上准备好了 API,现在正在研究如何保护通信。显而易见的选择是 OAuth(2?),但在我们的例子中,对 API 的访问不是特定于用户的,而是特定于公司的。

例如,我们将有一个将连接到 API 的移动应用程序,选择安装该应用程序的特定公司中的每个人都应该有权访问 API,而无需任何额外的身份验证/OAuth 舞蹈。

高层次的想法是使用共享 key 对特定客户端应用程序进行硬编码,以便它们只能访问正确的数据 - 这不是 OAuth,而是一些自定义解决方案......但在某些时候,它可能是可能的我们还将在 OAuth 更合适的情况下通过个人权限进行个人操作,因此基于标准和 future 友好的解决方案是理想的解决方案。

任何指针?只是试图以最佳角度填补空白,以继续前进。环顾四周,这似乎类似于服务器到服务器模型,Apigee recommends against使用 OAuth 进行。

最佳答案

是的,这绝对是 不是 OAuth 旨在解决什么问题。 Apigee 的双向 SSL 建议是服务器到服务器身份验证/授权的正确方法。您为每台服务器颁发一个 x509 证书,当它们相互发起 SSL 连接时,它们会验证彼此的证书是否来自受信任的来源。此功能内置于大多数服务器开发平台中,设置起来并不难。

关于用于基于组权限的 API 的 OAuth,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11388917/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com