我们有一个客户想要从他们的系统调用我们的Web服务 . 我们不验证客户端系统用户,而只验证客户端公司 . (是 - OAuth2用于授权,但我们将使用Open ID Connect)客户端希望使用Javascript(JQuery)访问我们的服务 .
我对拨款类型的分析(见下文)并没有给我一个明确的答案 .
授权代码:这需要委派的客户端登录(即 - 用户登录页面)隐式 - 这也需要委派的客户端登录,但是基于浏览器的调用的推荐模型 . 密码 - 通过用户名和密码登录 . 可能的候选人最安全的 . 客户端凭据 - 这似乎是推荐给应用客户端的一个,但是通过jquery发送客户机密码似乎并不安全 .
这似乎是B2B网络服务中的常见情况,但规范并没有给我一个明确的答案 .
在这种情况下使用哪种适当的授权类型?谢谢
1 回答
我想你应该建议你的合作伙伴创建一个位于JQuery和外部世界之间的Web服务 .
然后,此Web服务将保留客户端密钥,并通过Client Credential的OAuth Flow对您的API进行身份验证 .