@antonpryamostanov

OAuth2: как аутентифицировать сам Авторизационный Сервер?

Допустим, ведётся разработка Авторизационного Сервера OAuth2 как отдельного приложения (в виде Reverse Proxy, проверяющего Access Token и пересылающего запрос на отдельный Сервер Ресурсов).

Допустим, и Авторизационный Сервер и Сервер Ресурсов размещены на публичном Облаке (например, как 2 отдельных приложения в Heroku), и доступны из Интернет.

Вопрос: Как наилучшим способом добиться того, что только Авторизационный Сервер (как доверенное приложение) мог бы соединяться и использовать Сервер Ресурсов?

В идеальной ситуации - без использования тяжёлых зависимостей в Сервере Ресурсов (таких как Spring Security).

Вариант с Клиентской Аутентификацией через Клиентский Сертификат отпадает - Heroku не поддерживает такой метод.
VPN так же невозможно обеспечить между приложениями в публичном Облаке.
  • Вопрос задан
  • 138 просмотров
Пригласить эксперта
Ответы на вопрос 1
@antonpryamostanov Автор вопроса
Рассматривал Digest - но почему-то sha256 в Spring Security требует дополнительную конфигурацию (по умолчанию используется небезопасный md5), это как-то меня предостерегает от того, чтобы завязать решение на Digest авторизацию.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы