我正在开发一个API,我们的客户公司将使用它来访问公司特定的数据。我们已经准备好了API,现在正在研究如何保护通信。显而易见的选择是OAuth(2?),但在我们的例子中,对API的访问不是用户特定的,而是公司特定的。
例如,我们将有一个连接到API的移动应用程序,选择安装应用程序的给定公司的每个人都应该可以访问API而无需任何额外的身份验证/ OAuth舞蹈。
高级别,我们的想法是使用共享密钥对特定客户端应用程序进行硬编码,以便他们只能访问正确的数据 - 这不是OAuth,而是一些自定义解决方案......但在某些时候,它可能可能我们也将通过个人权限进行个人化,其中OAuth更合适,因此基于标准和未来友好是期望的解决方案。
任何指针?只是试图填补最佳角度的空白以继续前进。阅读,看起来这类似于服务器到服务器模型,Apigee recommends against使用OAuth。
答案 0 :(得分:3)
是的,这绝对是不 OAuth旨在解决的问题。 Apigee建议使用双向SSL是服务器到服务器身份验证/授权的正确方法。您为每个服务器颁发x509证书,当他们相互启动SSL连接时,他们会验证彼此的证书来自可信来源。此功能内置于大多数服务器开发平台中,并不是很难设置。