Всем привет.
Подскажите, плиз, правильный сценарий интеграции с использованием OAuth2.
Исходные данные: у нас есть resource owner и OAuth2 сервер.
Требуется: стороння система хочет периодически обращаться к нашим ресурсам. Стороння система - для простоты предположим, что это система мониторинга, работающая 24 часа в сутки, и не всегда за экраном сидит оператор.
Как я понял, мы в любом случае мы предоставляем ClientId и Client Secret, и сторонняя система хранит это где-то в своих конфигах.
Что до access_token, вижу 3 возможных сценария.
Сценарий 1. Сторонняя система хранит user/password и заказывает себе access_token
Как я понял, сценарий неправильный, так как user/password нужно пользоваться пореже, и в идеале вообще не хранить в системе, а запрашивать у пользователя.
Сценарий 2. Сторонняя система просит пользователя ввести user/password, заказывает себе access_token, обновляет его с помощью refresh_token
Сценарий видится правильным, но concern'ы следующие:
а) refresh_token тоже имеет expiration time, а значит через некоторое время система опять должна запросить user/password, что будет весьма некстати для системы мониторинга в 2 часа ночи, когда никого не будет около системы.
б) refresh_token не меняется при операции refresh (это by design, да?), а делать его вечно живущим тоже видится не совсем правильным с точки зрения security.
Сценарий 3. Сторонняя система получает (кроме ClientId и Client Secret) только refresh_token
Плюсы состоят в том, что теперь не нужно каждой сторонней системе запрашивать логины/пароли, это будет делаться как-то централизованно. Но получается теперь нудна еще одна система, которая будет менеджить все создания refresh token'ов и каким-то образом будет распростанять их по сторонним системам (да, их несколько)?
Так какой сценарий более правильный, и какая система должна запрашивать user/password для создания/обновления token'ов?
Ответ на:
комментарий
от vombat
Ответ на:
комментарий
от vombat
Ответ на:
комментарий
от Kroz
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.