我需要向 Jira 发送一些 REST API 请求,Jira 允许一些身份验证类型,但 OAuth2.0 是最安全的。
据我了解,您需要托管回调 URL,以便接收完成身份验证流程所需的代码。 问题是,我应该在客户端(分布式程序)还是在服务器端(托管回调的程序)执行此流程?无论哪种方式,我都必须告诉客户端代码或可用于发送请求的凭据。 下一个问题是:我如何知道服务器上何时有客户端的代码?我可以轮询服务器,但这效率很低,理想情况下,我想使用云服务器,并且不必在机器本身上运行服务器,除非这当然是标准。
客户端的一些背景故事:
它将用于创建/修改票证,就是这样。它需要可以适当/安全地解析然后最终发送到票证的用户输入。\
另一方面,尽管我刚刚说了有关 OAuth2.0 的所有内容。
从服务器检索 API 令牌会不会很糟糕,这样它就不会被硬编码?这是 Jiras 用于 REST API 身份验证的另一种方法。
我已经测试了API令牌方法,这当然是最简单的,但我希望根据场景给出适当的答案。
我认为 OAuth2.0 不合适,因为它不是需要进行这些 API 调用的“用户帐户”,而是专用于它的服务帐户。