¿Por qué algunos proveedores de API le piden que implemente Oauth2 en la comunicación de servidor a servidor que está disponible solo a través de HTTPS?
En la interfaz (aplicación o aplicación web), Oauth2 es útil para proteger las credenciales del usuario almacenando un token y no las credenciales en el almacenamiento local, el sistema de archivos o las cookies, y si no hay un canal https no es una buena idea pasar las credenciales de cada llamada en lugar del token que se puede revocar o caducar finalmente.
Pero, ¿por qué pasar por el proceso de implementación del lado del servidor oauth2 para comunicarse con otro servidor? Las credenciales se almacenan en el servidor, si hay una violación, bueno, token o no, el canal SSL lo protege de los hombres en el medio y los ataques de repetición. ¿Cómo es este sistema más seguro utilizando outh2 en lugar de la autenticación básica?
Hay una pregunta similar sobre este tema pero sin una respuesta concreta, así que estoy tratando de volver a hablar del tema Oauth2 vs APIKey en una comunicación de servidor a servidor