api - 如何选择保护 Mulesoft API 的方法？

OAuth 更倾向于授权，而不仅仅是身份验证。

例如，OAuth 2 有许多针对不同用例的不同流程。例如 3 legged OAuth 允许您使用外部身份提供者允许用户被授权访问您的资源。在某种程度上，您根本没有执行任何身份验证。

Http basic 在简单的场景中仍然可以发挥作用，也许当使用其他东西的成本和/或努力不值得并且它是内部网络并且 OJ 已经有某种 ldap 或活动目录类型的东西用于其他应用程序时（并且在这里使用 SSL 非常重要，因为基本的身份验证凭据是纯文本）

对于客户端 ID 和密码，虽然它类似于用户名/密码，但它更多地体现在语义上——您信任的是客户端而不是拥有凭据的人。

例如，您可以使用客户端 ID 来验证实际客户端，例如移动应用程序或 Web 应用程序。像 MuleSoft 的 API 管理器这样的客户端 ID 实现还允许您添加诸如速率限制和基于 SLA 的速率限制之类的策略，这样您就可以限制特定的客户端应用程序不使您的 API 过载。

您可以将它与 OAuth 一起使用。用于访问 API 的客户端 ID/秘密，但用于授权最终用户的 OAuth。

这是一篇更详细的文章，讨论了各种常见 api 身份验证机制的优缺点，并提供了一个链接，可以在您的用例的各种 OAuth 流程之间进行选择。

https://nordicapis.com/3-common-methods-api-authentication-explained/

https://auth0.com/docs/api-auth/which-oauth-flow-to-use