Mam dwa serwery korporacyjne, które muszą komunikować się w bezpieczny sposób i porównywane są przy użyciu protokołu SSL (z certyfikatami klient/serwer do sprawdzania obu stron) w porównaniu do uwierzytelniania dwunożnego przy użyciu protokołu OAuth 2.0 (opcjonalnie z tokenami MAC lub tokenami JWT).Dwuetapowa autoryzacja OAuth 2.0 vs SSL/TLS
Historycznie wydaje się, że OAuth został stworzony dla zupełnie innego celu (trójnogiego przypadku, w którym użytkownik zezwala usłudze na dostęp do niektórych danych) i chociaż dwunożny jest teraz zintegrowany ze specyfikacją OAuth 2.0, z tego, co widziałem, dwunożny OAuth 2.0 nie wydaje się oferować dodatkowej ochrony przez SSL.
Jedyną rzeczą, o której mogę myśleć jest to, że OAuth jest potencjalnie łatwiejszy do skonfigurowania niż SSL i łatwo popełnić błędy, np. Akceptując złe certyfikaty SSL, które mogą zagrozić bezpieczeństwu. Jednak nie jestem pewien, czy jest to wystarczający powód, aby przejść z OAuth.
Zauważ, że wspominam o nich jako o oddzielnych opcjach, ale myślę, że użycie OAuth prawdopodobnie pociągnęłoby za sobą użycie protokołu HTTPS/SSL, więc oba zostałyby użyte.
Czy istnieją rzeczywiste zalety korzystania z dwunożnego schematu OAuth 2.0 do komunikacji między serwerami (bez udziału użytkownika)?
Uwaga: Znalazłem nieco podobny post here, ale jest dość stary, ale nie sądzę, że dał satysfakcjonującą odpowiedź w tej sprawie.
Dzięki za odpowiedź. Dla jasności, "dwunożny" miałam na myśli typ przydziału "poświadczenia klienta", który, jak sądzę, jest udokumentowany w specyfikacji protokołu OAuth 2.0. Moje pytanie brzmi: zakładając, że używam SSL z odpowiednimi certyfikatami klienta/serwera do identyfikacji każdej maszyny, jaką wartość przydałaby się obsługa OAuth (dwuetapowa lub podobna), aby autoryzować serwery sobie nawzajem (zakładając, że nie ma w tym przypadku żadnego użytkownika)). Dzięki – Locksleyu