授权接口给其他公司该如何设计？

懒得想就走标准的 oauth2 呗

最简单的方式就是 nonce+签名

ZFB 的接入流程就比较标准。可以参考下。主要是公私钥的生成，数据加验签。

如果不是做成标准化，那就直接约定一个密钥和签名方式就可以了

@zoharSoul 我看不少使用 oauth2 的，打算看看阮一峰的博客研究一下

@linauror 还是打算标准一点，得考虑一下固定密钥泄露的情况

@tabris17 nonce 指的是？

@ISSSSSSS 感谢意见，可以看一下

就 key 签名就可以，要求加入一个随机数

mark 有类似需求.
问下 oauth2 的 Client Credentials 的 grant type 可以做么?

如果是一个 server2server 的接口更推荐 OpenId

@rioshikelong121 @zoharSoul
刚看了阮一峰大佬的文文章,感觉 client credentials 还挺符合我的业务场景。我当前业务没有前端，授权针对的是某个公司平台后台，而不是针对某个用户。
其他 3 中 oauth2 授权有：客户端和资源所有者的概念，需要资源所有者授权给某个第三方客户端。而我的场景没有资源所有者的概念，是第三方客户端直接获取授权得到数据

@HansLee 是 server2server，openid 指的是？

如果不打算做成标准化，IP 白名单+简单的 token 验签即可


标准化可以参考 oauth

@ileeoyo nonce 是参与签名计算的一次性的随机数。实际操作中，可以用 timestamp 来代替，不过调用者和被调用者之间需要校时，两者时间误差不能太大

@dilu 如果不需要很多时间，还是标准一点

@tabris17 能再详细点提示下吗

不要用 ip 白名单，第三方一加机器就得找你开白名单

简单点就 token+签名的方式吧

不要直接调，最好走一个网关或者代理，做一些限流 /监控 /白 or 黑名单控制。