Я искал использование мандатов учетных данных oauth2 для защиты моего API (всем пользователям будут доверять третьи стороны). Я следую тому же подходу, что и paypal: https://developer.paypal.com/docs/integration/direct/paypal-oauth2/Зачем использовать поток учетных данных клиента?
Однако, я вижу, что HTTP: // basic auth используется для получения токена-носителя. Затем токен-носитель используется для защиты вызовов API.
Что я не понимаю, если вы собираетесь доверять TLS и http: basic auth, чтобы получить токен-носитель - почему бы просто не использовать http: basic auth для вызовов API? В чем преимущество использования токенов-носителей?
Что мне не хватает?
Означает ли это, что если мой сервер авторизации и сервер ресурсов являются одним и тем же, то токены-носители не дают никакой реальной выгоды? –
Преимущество будет заключаться в том, чтобы при аутентификации клиента каждый раз, когда запрашивается ресурс. –
Извините за Ankit от наивного q - но почему аутентификация клиента была бы более трудоемкой, чем проверка токена-носителя? –