将OAuth 2.0身份验证添加到RESTful API
Mal*_*chi 11 api rest symfony oauth-2.0
我有一个需要通过OAuth 2.0进行身份验证的API.我最初预计会使用HWIOAuthBundle,但是从调查来看,这更多的是将第三方连接到Symfony的安全/身份验证机制,而不提供验证OAuth 2.0 Authorization标头所需的机制.
然后,我找到了一些有关FOSOAuthServerBundle的信息,它使应用程序成为自己的OAuth 2.0提供程序,并提供验证Authorization标头所需的安全机制.
但问题是我想将OAuth 2.0提供程序(授权服务器)集成到外部应用程序(包含用户群)中,而不是将其包含在API中.这将提供一些机制,通过(另一个)RESTful API对此外部应用程序执行令牌验证.
要点:
- RESTful API需要OAuth 2.0身份验证.
- OAuth 2.0授权服务器位于单独的应用程序中.
我觉得我应该使用Implicit grant并在每个请求上调用授权服务器来验证令牌是否正确.
我的想法是否正确?
据我所知,您需要通过外部OAuth授权服务器对API进行身份验证:
客户端需要提供在上述步骤中检索到的访问令牌以及访问受保护资源的请求。访问令牌将作为授权参数发送到请求标头中。
服务器将基于令牌对请求进行身份验证。
如果令牌有效,则客户端将获得对受保护资源的访问,否则访问将被拒绝。
或者简单地说,您可以使用Jersey和Oauth
另外,您可以检查Apache Oltu并找出实现要求的方法。
许多大公司,如 Google、Facebook 等,都有独立于 API 服务器的授权服务器。查看下面的 Google OAuth 授权流程
您还可以查看 Google 的OAuth 文档 for the details.
因此,您需要做的就是实现一个 OAuth 提供程序,以便您可以针对该提供程序进行授权。OAuth 网站上提供了可用的库列表:http://oauth.net/code。具体可以看这里;有一个在 Java 中运行 OAuth 服务提供程序的示例。
| 归档时间: |
|
| 查看次数: |
6728 次 |
| 最近记录: |