我有一个API。假设它允许用户在排行榜上更新他们的分数。这使用OAuth2。OAuth2:保护非用户资源
代表用户使用OAuth2的客户端拥有32个字符ID和密码。
我也有一些资源是“公共”,不属于用户。说取得整体排行榜。
我希望客户端能够通过API访问它们。但是,这些客户可能不是用户(其他网站说),实现OAuth流程似乎过于复杂。但是,我也希望客户能够识别自己,以跟踪谁在使用它,并实施比率检查(如果需要)。
OAuth2中有什么可以允许的吗? client_credentials是针对'可信赖的客户'的,这些不会是这样的。
或者,我是否对这些端点使用不同形式的身份验证,以便代替授权:承载[OAUTH2_TOKEN],客户端将执行授权:令牌[CLIENT_ID]?
嗯。好点子。他们可能必须交换他们的client_id作为令牌。它看起来像Twitter与纯应用程序认证类似:https://dev.twitter.com/oauth/application-only – Apemantus