Il nostro prodotto consente ai componenti di terze parti di comunicare con i servizi Web utilizzando una chiave API (un token al portatore). Lo sviluppatore del componente genera la chiave API nella nostra app e quindi la memorizza con il suo componente.
Recentemente alcuni clienti ci hanno chiesto di passare a OAuth2 anziché semplici chiavi API per una maggiore sicurezza.
Abbiamo bisogno di utilizzare il tipo di concessione Credenziali del Cliente per questo in quanto non vi è alcun 'utente' coinvolto nel flusso. Tuttavia, ciò richiede la memorizzazione dell'ID client e del segreto insieme al componente.
In che modo è più sicuro della semplice memorizzazione di una chiave API con il componente? Non hanno la stessa superficie di attacco (chiunque abbia accesso a quel componente può spoofarlo)?