Perché alcuni provider API ti chiedono di implementare Oauth2 nella comunicazione server-server disponibile solo su HTTPS?
Nel frontend (app o webapp), Oauth2 è utile per proteggere le credenziali dell'utente memorizzando un token e non le credenziali nella memoria locale, nel filesystem o nei cookie, e se non c'è un canale https non è una buona idea passare le credenziali su ogni chiamata piuttosto che sul token che può essere revocato o alla fine scadere.
Ma perché passare attraverso il processo di implementazione del lato server oauth2 per comunicare con un altro server? Le credenziali sono memorizzate sul server, se c'è una violazione, beh, token o no, il canale SSL ti protegge dagli uomini nel mezzo e replica gli attacchi. In che modo questo sistema è più sicuro utilizzando outh2 anziché Basic Auth?
C'è una domanda simile su questo argomento ma senza una risposta concreta, quindi sto cercando di riportare l'argomento Oauth2 vs APIKey in una comunicazione da server a server