OAuth2 APIトークンのように使用されるベアラトークン

Question

従来のAPI_KEYのように、サーバとサーバのHTTPS通信（両方のサーバを制御）に対して単純な認証を行いたいとします。サーバーがキーが有効かどうかをチェックします。

私たちの同僚は、だから、クライアントがconfigにclient_keyを持っている、それはリフレッシュことはないのOAuth2ベアラトークン（RFC6750）

Authorization: Bearer client_key

のようにそれを実施しています。そのような「ハードコーディングされた」ベアラトークンがOAuth2と一緒であるか否かにかかわらず、それはうまくいきます。当社では哲学的な論争があります。 （免責事項：私は紛争のいずれかの側ではないです。）

Answer 1

OAuth 2.0のプロトコルは基本的にaccess_token定義 - と2プロトコル「足」 - 時間とパーミッションにバインドされているトークンです：

を "（あなたのトークンがどのような方法でバインドされていないので）あなたがアクセストークンを使用していないと、あなただけきたどのように取得し、アクセストークン

存在/

アクセストークンを使用する方法

1. 構文実際には、実際にはOAuth 2.0を実装していません。 client_keyをHTTP Basicヘッダーまたはクエリパラメータに表示することもできます.OAuth 2.0とは関係なく、ヘッダー名と形式を借用していることになります（おそらく：abusing ...）。