OAuth2とAPIキー
当社の製品により、サードパーティのコンポーネントは、APIキー(「ベアラートークン」)を使用してWebサービス経由で通信できます。コンポーネントの開発者は、アプリでAPIキーを生成し、コンポーネントと一緒に保存します。
最近、いくつかのお客様から、セキュリティを向上させるために単純なAPIキーではなくOAuth2に切り替えるように依頼されました。
フローには「ユーザー」が関与していないため、これにはクライアント資格情報付与タイプを使用する必要があります。ただし、これにはコンポーネントとともにクライアントIDとシークレットを保存する必要があります。
これは、コンポーネントでAPIキーを単に格納するよりも安全ですか?彼らは同じ攻撃面を持っていますか(そのコンポーネントにアクセスできる人はだれでもそれを偽装できます)?
彼らはあなたの接続の終わりのセキュリティを改善しようとしているのではないかもしれません。彼らは、自社開発または証明されていない認証メカニズムを取り除くことによって、自分のセキュリティと顧客のセキュリティを改善しようとしている可能性があります。