服务器到服务器集成的最佳推荐AuthN和AuthZ流是什么？

Question

有N个产品(MS)通过api网关向外部世界公开了它们的API。我们将API网关与IDP联合起来，并遵循OAUTH2.0流程，但是什么应该是服务器到服务器集成API的最佳身份验证过程，我们不需要显式地将用户重定向到浏览器才能输入凭据。

Answer 1

客户凭证流是你要找的东西。这是一个为服务到服务通信而设计的OAuth流。客户端将其凭据显示给授权服务器(IDP)，例如mTLS场景中的秘密或证书，并返回只标识客户端(而不是任何用户)的访问令牌。该流程不需要浏览器，而是一个简单的HTTP请求响应。