У меня есть API. Скажем, это позволяет пользователям обновлять свой счет в таблице лидеров. Это использует OAuth2.OAuth2: Защита не-пользовательских ресурсов
Клиенты, которые используют OAuth2 от имени пользователя, имеют 32 символьных идентификатора и секреты.
У меня также есть ресурсы, которые являются «общедоступными» и не принадлежат пользователю. Скажем, получить общую таблицу лидеров.
Я хочу, чтобы клиенты имели доступ к ним через API. Однако эти клиенты могут не быть пользователями (другие сайты говорят), а реализация потока OAuth кажется чрезмерно сложной. Тем не менее, я также хотел бы, чтобы клиенты идентифицировали себя, чтобы отслеживать, кто его использует, и, например, осуществлять, скажем, проверку ставок.
Есть ли что-нибудь в OAuth2, которое позволяет это? client_credentials для «доверенных клиентов», и это не будет таким.
В качестве альтернативы, использую, скажем, другую форму аутентификации для этих конечных точек, чтобы вместо авторизации: Bearer [OAUTH2_TOKEN] клиент выполнил авторизацию: токен [CLIENT_ID]?
Хм. Хорошая точка зрения. Им может потребоваться обменять client_id на токен. Это похоже на то, что Twitter делает что-то похожее с аутентификацией только для приложений: https://dev.twitter.com/oauth/application-only – Apemantus