API B2B Livello di autorizzazione appropriato

1

Siamo nelle fasi iniziali di uno sforzo per esporre i nostri dati tramite API ai nostri partner commerciali. C'è una discussione in corso su come autorizzare al meglio l'uso dell'API. Nello specifico, forniamo all'entità aziendale un token / chiave / qualsiasi cosa venga utilizzata in ogni richiesta all'API o richiediamo che qualsiasi dipendente dell'entità fornisca un nome utente / password. Va notato che fattureremo l'entità su un livello per accesso e che l'entità svilupperà le proprie applicazioni per utilizzare questa API: non stiamo fornendo un'applicazione completa (solo API).

Sono più propenso a fornire una chiave a livello di entità e, da parte nostra, tracciamo semplicemente l'utilizzo dell'entità come un aggregato. Ritengo che questo sarebbe più gradito al reparto IT dell'entità. L'argomento per cui ogni singolo utente fornisce credenziali è quello di essere in grado di segnalare all'entità quale utente ha utilizzato la propria assegnazione di richieste.

Mi piacerebbe un po 'di feedback e qualsiasi supporto aneddotico in una posizione o nell'altra.

Alcuni pensieri aggiuntivi:

  1. L'idea è che l'entità stia sviluppando le proprie applicazioni ed è proprio quelle applicazioni che alla fine faranno chiamate alla nostra API.

    • Ciò consentirebbe all'entità di tracciare l'utilizzo dell'utente se lo desidera.
    • Non vorremmo imporre troppi mandati di design per le loro applicazioni (ad esempio, devi chiedere ai tuoi utenti di fornire due nomi utente / password)
  2. Ci sono probabilmente 1000 di utenti finali. Questo potrebbe essere un incubo di manutenzione / amministrazione. Come i loro utenti vanno e vengono.

  3. Immaginerei che queste entità possano essere contrarie all'idea che i loro utenti abbiano informazioni sul nome utente / password sui nostri sistemi. Gli utenti spesso usano lo stesso nome utente / password. Applicheremo criteri per le password che soddisfano i requisiti dell'entità.

Ovviamente, spero di sentire un feedback che supporti la mia posizione e che possa aiutarmi a promuoverlo qui, ma non sono troppo orgoglioso di ascoltare alcuni argomenti per l'altra (o qualche terza, quarta) posizione. Ho bisogno di ciò che è meglio di ciò che è mio.

    
posta David Martin 25.10.2016 - 21:31
fonte

0 risposte

Leggi altre domande sui tag