我有一个使用servlet制作的web应用程序,并且我有一套独立的API用于web应用程序。我想用OAuth保护API,这样当我们使用OAuth时,会将客户端证书而不是凭据发送到授权服务器进行验证,验证后应该允许访问API。有什么方法可以实现这种身份验证吗。如果可能的话,我应该采取哪些步骤来实现这一目标?
客户端证书凭据可用于代码流或客户端凭据流中的机密客户端。这种类型的解决方案通常用于涉及高价值数据的金融级设置。
然后发出的访问令牌包含cnf声明,因此每个API调用都绑定到身份验证时使用的强凭据。有关更多详细信息,请参阅RFC8705标准。
对于一个可以在本地运行的端到端示例,它涵盖了后端和客户端行为,请参阅Curity代码示例。并非所有授权服务器都支持这些流,因此请检查您的提供商。