Aouth 2.0, кому нужно управлять 2 типами аутентификации?

Question

Есть система заказа еды.Существует около 12 или 13 API.

Конечный пользователь может искать рестораны, продукты, фильтровать вещи и т. Д. Без входа в систему.Логин необходим только для размещения заказа, просмотра прошлых заказов и т. Д. Таким образом, для примерно 10 API мне не нужно, чтобы пользователь входил в систему.

10 API (необходимо проверить стороннюю версию)

Остальное (необходимо проверить как стороннего, так и пользователя)

Решения oAuth 2.0, которые я видел до сих пор, они мгновеннопросит пользователей войти в систему, чего я не хочу.

Мне было бы очень полезно, если бы кто-то нашел время, чтобы объяснить возможное решение и как все они могли бы сойтись.

Answer 1

Если аутентификация не требуется, информация является «общедоступной» и не нуждается в защите от OAuth 2.0.

Нередко API-интерфейсы вызываются веб-приложением, в котором веб-приложениенеобходимо использовать OAuth 2.0 для доступа к API, но конечный пользователь не имеет никакого отношения к API.Поэтому для доступа к API-интерфейсу веб-приложению необходим OAuth 2.0 client_id.Предоставление клиентских учетных данных предназначено для этого варианта использования: ( RFC 6749, раздел 1.3.4 )

, когда область авторизации ограничена защищенными ресурсами, находящимися под контролемклиент ... когда клиент действует от своего имени

Веб-приложение может в какой-то момент использовать OpenID Connect для аутентификации конечного пользователя для доступа к некоторым из "защищенных ресурсов".