服务器到服务器 API 认证 + 授权

如何解决服务器到服务器 API 认证 + 授权

我正在设计一个将由外部 Web 服务器使用的 Web API。

只有外部 Web 服务器必须被授权访问内部 API。

最终用户将通过外部网络服务器进行身份验证，但在请求数据时必须将用户名转发到内部 API，因为有一些基于用户名的数据过滤。

内部web api服务器应该采用什么认证机制？

1. 我从 X-API-Key 标题开始，但是我应该如何提供用户名？我想避免在查询字符串中传递用户名

2. 我在考虑基本身份验证，其中密码是 X-API-Key

3. 不记名令牌理论上也可以工作，但不记名令牌通常由授权服务器生成，在这种情况下不是一种选择。

编辑： 请注意，最终用户不会进行任何 API 调用。它只是使用一些 CMS 访问网站构建，然后 CMS 在内部获取数据并生成 HTML 响应。

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。