TL : DR; 신뢰할 수있는 클라이언트 OAuth Token Creation?
나는 내 VPC 내에서 신뢰할 수있는 응용 프로그램이 내가 허용 할 :POST /oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd
클라이언트의 비밀은 비밀이라는 가정에있는 모든 사용자의 데이터에 무제한 액세스 할 수 있습니다
저는 SOA (Service Oriented Architecture)를 구현해 왔으며 애플리케이션 인증 및 권한 부여에 대한 자신감이 부족합니다.
우리는 우리가 클라이언트 자격 증명 (아이디, 비밀) 및 사용자 ID를 사용하여 신뢰할 수있는 OAuth를 허용 목록에있는 주요 API에 내부 응용 프로그램이 있습니다 기본적으로POST /oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd
을,이 그것을 만들어 암호없이 주어진 사용자에 대해 oauth 토큰을 생성하고 권한 페이지를 표시하지 않을 수 있습니다.
사용자 식별자를 혼합하여 사용자 별 토큰을 허용하고 단일 사용자에 대한 토큰을 무효화 할 수있는 옵션을 제공합니다. 이러한 방식으로 전체 애플리케이션을 무효화 할 필요가 없으므로 잠재적으로 보안 수준에서 타협하지 않습니다.
신뢰할 수있는 클라이언트 OAuth 2.0 토큰 생성에 우선 순위가 있습니까?