我必须通过休息两个内部应用程序进行通信,我不需要使用用户凭据。是否可以仅使用cliend_id和client_secret键进行身份验证?
如果Oauth
不可能事先感谢所有
可以仅使用cliend_id和client_secret进行身份验证 键?
否。客户ID和客户秘密仅标识项目/帐户。他们没有确定用户或身份。
客户ID是公开的。客户秘密必须是秘密。如果您将客户秘密发送到其他服务,那将不再是秘密。但是,如果双方都由您控制并安全,则客户秘密可以用作秘密密钥。但是,在这种情况下,您只能生成一个带有随机数生成器的秘密密钥,而不会打扰Oauth客户端秘密。
对于服务到服务授权,您通常会使用HTTP authorization: bearer标头中包含的签名JWT。
有许多技术,包括秘密键,加密数据等。选择技术取决于您的问题中未包含的信息,例如处理器性能,安全详细信息,所需的体系结构,密钥旋转,公共/私钥可用性等。