Sto guardando i metodi di sicurezza per le API. Utilizzando i token di accesso JWT dopo l'accesso del client con l'utente / password, funzionerà bene per le app Web interne utilizzando le nostre API. Tuttavia, sto valutando come proteggere le nostre API esterne che altri sistemi / client potrebbero utilizzare per consumare dati.
Di solito vedo servizi API che forniscono un client_id e un client_secret. Questo, tuttavia, finisce per essere utilizzato in OAuth2 che preferirei non dover implementare poiché non sono sicuro di un'implementazione sicura e di successo di una specifica così grande e non voglio nemmeno dipendere da auth0.
Penso che se si usasse il JWT semplice per le API esterne utilizzate dalle applicazioni, dovrei avere un tipo di identità diverso da utente / password. Come un ID e una chiave sicura. Cosa sarebbe meglio?