Мы обеспечили наш сервер REST OAuth2 и внедрили тип гранта клиентских учетных данных для нескольких клиентских приложений, которыми мы управляем. Теперь мы сталкиваемся с решением либо сделать токены долговечными (то есть они истекают "никогда" ), либо часто повторно проверять клиентов (в зависимости от обновления срок действия токена). Первое означает, что захваченный токен может использоваться злоумышленником, второй - очень часто раскрывает секрет клиента, который затем, в свою очередь, может быть использован для получения токенов.
Что более безопасно на сервере-сервере для аутентификации клиент-сервер? Как токен, так и секрет клиента могут быть признаны недействительными, если мы подозреваем кражу. Очевидно, что вся связь осуществляется через https..
В настоящее время мы думаем, что секрет клиента более мощный, чем токен, и поэтому долгосрочный токен должен быть лучше для этого двухъядерного сценария. (Для любого трехступенчатого типа грантов, который мы скоро реализуем, мы предпочли бы кратковременный токен, действующий как пользовательский сеанс).
Спасибо за ваши мысли!