服务器到服务器 API 认证 + 授权

我正在设计一个将由外部 Web 服务器使用的 Web API。

只有外部 Web 服务器必须被授权访问内部 API。

最终用户将通过外部网络服务器进行身份验证，但在请求数据时必须将用户名转发到内部 API，因为有一些基于用户名的数据过滤。

内部web api服务器应该采用什么认证机制？

1. 我从 X-API-Key 标题开始，但是我应该如何提供用户名？我想避免在查询字符串中传递用户名

2. 我在考虑基本身份验证，其中密码是 X-API-Key

3. 不记名令牌理论上也可以工作，但不记名令牌通常由授权服务器生成，在这种情况下不是一种选择。

编辑： 请注意，最终用户不会进行任何 API 调用。它只是使用一些 CMS 访问网站构建，然后 CMS 在内部获取数据并生成 HTML 响应。

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）