Это кажется странным вопросом, но кое-что я обдумывал.
У меня есть API, который я хотел бы, чтобы люди использовали, но люди, использующие его, требуют много рук, чтобы пройти через процесс OAuth2, чтобы получить токен доступа.
Вместо того, чтобы выдвигать требования о предоставлении кода авторизации OAuth2 у моих пользователей, я хотел бы предоставить им веб-интерфейс пользователя, где они могут копировать отзывные токены доступа и обновлять токены.
Как только люди получат свои токены, они смогут подключить их к своему клиентскому приложению, и они уйдут. Если токены необходимо отозвать, они могут быть отозваны через мой веб-интерфейс пользователя.
Для соединений между серверами это кажется «безопаснее» ?? чем предоставление пароля OAuth2, потому что, заставляя людей заходить на веб-сайт для получения токенов, люди всегда должны указывать имя пользователя и пароль непосредственно в моей системе. Вероятность того, что другая система-посредник кэширует учетные данные между клиентской системой и моей, меньше.
Твердо ли я думаю об этом или это немного подозрительно? Часть меня чувствует себя неправильно из-за того, что позволяет пользователям полностью пропустить поток кода авторизации Oauth2.