#authentication #oauth-2.0 #authorization #ropc
#идентификация #oauth-2.0 #авторизация #ropc
Вопрос:
Сценарий заключается в том, что
- API службы требует информации о пользователе (идентификатор пользователя или адрес электронной почты для входа) для обработки вызова API, и лучше извлечь информацию из маркера доступа.
- Со стороны клиента (может быть веб-страница) мы ожидаем использовать учетную запись fix (имя пользователя/пароль) и не требуем, чтобы пользователь вводил данные вручную, вход в систему должен быть неинтерактивным и прозрачным для каждого пользователя. Рассматривайте эту учетную запись как учетную запись службы и не принадлежите отдельному пользователю.
В этом случае из стандартного потока OAuth поток учетных данных клиента нельзя использовать, поскольку он содержит только информацию о приложении. Кроме того, поток предоставления/импликации кода не может быть использован, так как для этого требуется хотя бы одно взаимодействие с пользователем (для предоставления удостоверения серверу авторизации). Является ли поток ROPC единственным выбором в этом случае ? Или есть лучшая альтернатива, поскольку ROPC считается менее безопасным и предлагает не использовать «Лучшие современные методы обеспечения безопасности OAuth 2.0».