我有一个带有oAuth 2服务器实现的API来验证客户端。目前,API 和 oAuth 服务器位于一台服务器上。我想知道是否可以将oAuth服务器移动到其他位置并将其用作外部服务,但我不确定这是否是一个愚蠢的想法。
我的计划是:
客户端 -> 请求(使用 oAuth 凭据)->API.example.com -> 请求(使用 oAuth 凭据)-> oAuth.example.com
关于成功 oAuth
oAuth.example.com -> 返回成功 -> API.example.com (做一些工作) -> 返回结果 ->
客户端我想这样做来分离 oAuth 和 API,因为我过去有一些技术困难,更新 API 可能会破坏 oAuth(如果底层技术发生变化)。
这个想法有什么风险吗?是否有任何资源可以让我更好地了解潜在的风险或问题?
所以我通过Twitter询问了Phil Sturgeon,他回答说,将oAuth服务器分离到不同的服务器或至少不同的代码库是一个很好的做法,他当然也会使用。他还在他的书"构建你不会讨厌的API"中写道。
由于他一直在从事许多API和API驱动的项目,我认为这是一个合法的来源和一个很好的答案。