Какой тип аутентификации предлагается для веб-API, который будет использоваться только другим веб-сервисом?

Question

Перед нами стоит задача создания WebAPI для дистрибьюторской компании с несколькими перепродавцами, у которых уже есть собственные веб-сайты.

Реселлеры принимают заказы от своих клиентов через свои собственные веб-серверы.После проверки заказа перепродавцы хотят автоматически переслать данные заказа дистрибьютору.Веб-сервер продавца будет отправлять запрос в наш WebAPI с данными аутентификации и заказа - для этого не будет никакого взаимодействия с пользователем.

Я хотел бы знать, можно ли использовать OAuth для аутентификации запросовс сайта перепродавца. Большинство всего, что я читал об OAuth, похоже, фокусируется на Пользователе, взаимодействующем с логином, но наш сценарий в основном межмашинный.

Если не OAuth, какой «типичный» механизм аутентификации выбирается для обмена данными между машинами?

Answer 1

В OAuth2 есть 4 разных типа грантов.Наиболее подходящим для вашего случая использования является тип предоставления «Учетные данные клиента».

RFC 6749 состояния:

Учетные данные клиента используются в качествеПредоставление авторизации обычно, когда клиент действует от своего имени (клиент также является владельцем ресурса) или запрашивает доступ к защищенным ресурсам на основе авторизации, предварительно согласованной с сервером авторизации.

Обратите внимание нафраза «от своего имени», а не «от имени пользователя».

В этом потоке клиент напрямую получает токен доступа с сервера авторизации, предоставляя соответствующий идентификатор клиента и секрет клиента.