У меня есть веб-API, которые необходимо защитить. Это означает, что только аутентифицированные приложения могут использовать эти API.Защита API с помощью IAM
Эти API-интерфейсы используются в фоновом режиме, поэтому само приложение должно быть аутентифицировано не пользователем, запускающим приложение. Пользователь ничего не заметит.
Какая технология является лучшей для обеспечения безопасности этих API?
Если вам не нужны вызовы должны быть сделаны в контексте данного пользователя и просто хотите убедитесь, что только известные приложения могут вызывать ваш API, а затем выдавать каждое приложение, а API key - это гораздо более простой способ сделать это, не беспокоясь о соблюдении перечисленных вами протоколов.
С другой стороны, если ваши приложения должны вызывать API от имени данного пользователя, такие протоколы, как OpenID Connect и OAuth 2.0, начинают иметь больше смысла. Однако, чтобы люди могли дать точную рекомендацию, вы можете попытаться дать более конкретные сведения о вашем случае использования.
Спасибо. Использование API-ключа только не соответствует требованиям заказчика. Приложение должно быть аутентифицировано, поэтому нам необходимо реализовать OAuth 2.0 с использованием Client_ID и Client_Secret. – user217648
Не беспокойтесь, как я сказал, если вам нужен пользовательский контекст. OAuth 2.0, вероятно, лучше всего подходит для авторизации API. Однако это не линейно. –