Nuestro producto permite que los componentes de terceros se comuniquen con él a través de servicios web mediante una clave API (un 'token de portador'). El desarrollador del componente genera la clave API en nuestra aplicación y luego la almacena con su componente.
Algunos clientes nos preguntaron recientemente acerca de cambiar a OAuth2 en lugar de simples claves API para mejorar la seguridad.
Necesitamos usar el Tipo de concesión de credenciales del cliente para esto ya que no hay ningún "usuario" involucrado en el flujo. Sin embargo, esto requiere almacenar la identificación y el secreto del cliente junto con el componente.
¿Cómo es esto más seguro que solo almacenar una clave API con el componente? ¿No tienen la misma superficie de ataque (cualquiera que tenga acceso a ese componente puede falsificarlo)?