我正在构建一个restful API,允许用户以编程方式(通过CURL/HTTP)访问和管理他们自己的资源,而不是使用我们提供的仪表板。
我有自己的授权服务器和资源服务器,所以没有第三方参与。我在使用OAuth 2.0和简单的API密钥之间左右为难。OAuth 2.0似乎有点矫枉过正,但我不想发布公共API,然后在未来更改授权方法。
是否可以构建一个混合解决方案,用户可以登录到仪表板,生成“刷新令牌”,指定范围,然后复制此刷新令牌并在自己的代码中使用它来调用 /token 终结点并获取访问令牌?
这与OAuth 2.0类似,只是授权步骤由第一方仪表板上的认证用户直接完成。这是合法的解决方案吗?你还有其他建议吗?
OAuth2是外包用户/密码/MFA管理,与社交登录整合。您似乎已经在仪表板中管理用户了。在此基础上,如果您在API/资源服务器中签署了手动访问令牌并验证了签名,那么您所描述的手动访问令牌是可行的。
