授权接口给其他公司该如何设计？

@tabris17 #15 nonce 不能使用 timestamp，而应该和 timestamp 同时使用，两者结合可以用来防止重放攻击
单独使用 timestamp 的话，因为需要预留一定的容错时间，所以还是存在被重放攻击的风险，加上一个 nonce 就可以避免了

不过对于楼主这种简单需求，白名单应该是最稳妥简便的方式

@teawithlife 实际操作中可以使用 timestamp，一般允许调用者和被调用者之间时差不超过 X 分钟，那么重放攻击的窗口期也就 X 分钟而已。安全性要求不高的场景下没有问题

@chairuosen 后台做个添加白名单的功能不就好了？

网络上大部分 Spring Oauth2 server 教程中 ClientID，Client Securets 是写死的。把这个开放出来，给 Client （ App ）注册就行了。Client 的意思是 Application Client，就是要访问你的 API 的程序。剩下的就是定义好 Scopes，和允许的 Flow 了。

@ileeoyo 你的所有暴露的 API 都是 resource owner 的，资源拥有者就是你自己（公司），通过 Scopes 来决定授权。

这个很简单。
我每次都打开几大网站的 api 后台接口，看别人是怎么设计的。
Google 、Microsoft 、Facebook，这三个参考一下就能弄出来了。
他们设计的也很简单，反正前几年都是 oauth 。

@hantsy 我再看下 scope 这么限制 具体的访问权限

这玩意儿远远不是一个 OAuth2.0 能说清楚的，里边儿包含了很多行业标准，有个产品叫 Anth0，就是专门做这个，你可以搜一搜看看。

楼主的需求不是 OAuth2 的菜，应该加密+签名。

@tinycold 现在就 Auth0, okta 两家做得比较大了，应用广泛，各种应用场景集成都是相应的 SDK 支持，开发也简单。

简单一点就用签名咯，再复杂一点就 AES 加密，再复杂一点就 RSA 加密。接口对接用 oauth2 太麻烦了点，又不是对用户授权

@cbasil 还可以用 JWT，`sub` 表示 `client_id` 然后加密密钥用来表示 client_secret

我这边的一个类似设计是：对方先调用我方 queryNonce 接口获取随机码 nonce （参数是对方的系统唯一 id ），然后它在本地计算 token=Md5(timestamp+nonce),然后将 timestamp 和 token 放在 header 中进行调用；
我方收到请求后先判断 timestamp 是否误差查过 5 分钟，然后拿本地存储的 nonce 进行同样的 Md5(timestamp+nonce)计算得到 localToken，然后根据 localToken 是否等于 token 来判断是否合法

推荐个 oauth2 框架，keycloak，应该是可以满足的你需求

一定要绑定硬件 key

可以去看看支付宝支付及微信支付的鉴权接口。

@hantsy 按照你的设计，使用 client_credentials 模式，传递 client_id 、client_secret 、scope 申请授权
假如说要像阿里云那样，企业下有多个子账号，每一个子账号都有自己的 ak，这种也要使用 client_credentials 吗

参数打包+key 的 md5 就像微信支付一样

oauth2

有个简单 demo
https://github.com/codeyung/spring-boot-oauth2