我正在寻找解决以下问题的最佳方法:我们的应用程序是SaaS,支持SAML进行Web登录。该应用程序还公开了REST API,应该在自动化和无人值守的过程中使用,这意味着没有交互式用户来输入凭据。我们需要允许开发人员针对相关IdP(已经定义,因为用于API访问的相同凭据也可以用于访问Web应用程序)对无人值守流程进行编程身份验证。
我想象的流程如下:程序使用专用API进行身份验证,获取令牌并将其用于下一次调用。
当搜索保护REST API的最佳方法时,我发现大多数答案建议使用oAuth,通常需要交互式用户,因为它们讨论的是交互式应用程序尝试代表用户访问其他系统上的REST API,而用户在那里输入密码。oAuth是否也是我面临挑战的答案?如果是,流程是什么?
谢谢!
我想象的流程如下:程序使用专用API进行身份验证,获取令牌并将其用于下一次调用。
当搜索保护REST API的最佳方法时,我发现大多数答案建议使用oAuth,通常需要交互式用户,因为它们讨论的是交互式应用程序尝试代表用户访问其他系统上的REST API,而用户在那里输入密码。oAuth是否也是我面临挑战的答案?如果是,流程是什么?
谢谢!