Quiero implementar una nueva @ basada en RE API en nuestra infraestructura, y OAuth parece ser el camino a seguir.

Para nuestra implementación, primero solo habrá acceso de servidor a servidor, que será completamente ilimitado. Creo que esto se llama autorización de dos patas.

Más tarde, nos gustaría permitir que el navegador consuma la API, lo que convertirá nuestra autorización en tres patas.

¿Hay un buen punto de partida para implementar esto? ¿Cómo podemos autorizar completamente un servidor y, en el futuro, agregar autorización restringida por usuario?

La especificación de OAuth no es realmente útil en estos escenarios, pero creo que esto implica que necesitamos crear una sesión que no caduque nunca para el acceso de servidor a servidor, y luego agregar sesiones normales con acceso limitado para las API solo para usuarios. @

¡Espero encontrar puntos de partida para obtener más información, hágamelo saber!

¿Es OAuth para mí? Solo estoy buscando un sistema de solicitud autenticado, y solo el consumidor y el proveedor de servicios existen en este escenario. ¡El usuario final no entra a jugar!