我们有一个 Spring Boot API,用户在使用其端点之前,在 JWT 方案下使用其凭据进行身份验证。现在,我们正在实现一个新系统(聊天机器人),它需要在将答案返回给用户之前消耗这些端点。我的问题是,我们是否应该按照 OAuth2 客户端凭据授予规范的建议实现授权服务器和资源服务器?在这种情况下,我们的聊天机器人是否需要使用其 cliendid 和 Secret 定期进行身份验证?我们正在考虑为客户端聊天机器人提供永久令牌,以避免永久身份验证。我们不希望客户端每次调用 API 时都必须获取令牌,我们希望为客户端提供一个已生成的令牌,它将在每个请求中使用该令牌,从而避免令牌获取步骤。这种方法会不安全吗?在这种情况下哪种方法更可取?
据我所知,最佳实践是使用
OAuth2 Client Credentials此流程(OAuth2 客户端凭证)对于需要执行 API 操作的系统很有用 当没有用户存在时。可以是夜间操作,也可以是其他操作 涉及联系 OAuth 受保护的 API。
但是,如果我正确理解了您的意思,这些 api 调用(聊天机器人)将由最终用户触发,在这种情况下,您必须实现
Authorization Code Flow如果是基于 Spring 的应用程序,您可以从
spring-boot