برای درک مشکل من به کمک نیاز دارم.
من در حال مطالعه روش ارائه تأیید اعتبار برای برنامه های خود هستم.
سناریوی من:
من مجموعه ای از API ها را با دسترسی محدود و کاربرانی که معتبر و مجاز به مصرف این منابع هستند ، می شناسم.
من از Keycloak به عنوان مدیریت هویت برای تأیید اعتبار / مجوز کاربران استفاده می کنم.
خدمات من با استفاده از یک API Gateway از مراجعین عمومی و خارج از کشور در معرض دید قرار می گیرند.
با تأیید پروتکل OAuth2 ، فهمیدم که پروتکل OAuth2 فقط مشخصات دسترسی به برنامه های شخص ثالث را ارائه می دهد ، اما من یک نوع کمک مالی به نام "رمز عبور صاحب منابع" یافتم. اعتبار کمک هزینه "که به نظر می رسد مشکل من را حل می کند.
برنامه های من به هیچ وجه اجازه دسترسی یا ارتباط با آوارگان شخص ثالث را نمی دهند. در این سناریو دو سؤال دارم:
آیا OAuth + "اعتبار اعتبار صاحب رمز عبور اعطا می کند" بهترین گزینه برای تأیید اعتبار مشتری های من است؟
تمام برنامه های من توسط API GW دسترسی پیدا می کنند. نقطه پایانی کلید که برای تأیید اعتبار مشتری من استفاده می شود باید در API GW قرار بگیرد یا می تواند یک نقطه پایان عمومی باشد؟
متشکرم.
