Gre*_*ech 23 authentication authorization oauth
我目前正在努力指定我公司的新合作伙伴/公共API,这将是一个面向资源的RESTful Web服务.目前这个难题的缺失部分是认证/授权.
要求是:
OAuth似乎是理想的(2)获取令牌的工作流程,重定向到用户输入其凭据以授权它的网站,然后使用该标记来识别/验证应用程序和用户.
但是,从我读,我不知道这是否是适合于(1) -即是否有任何方式的OAuth可以用来只是识别调用应用程序,而无需有效的用户特定的标记,因此不需要要重定向到网页,以便他们输入凭据?
Chr*_*ris 17
实际上有两个OAuth规范,3脚版本和2脚版本.三脚版本是最受关注的版本.
2-legged版本完全符合您的要求,它允许应用程序通过共享密钥(非常类似于Amazon的Web服务模型,您将使用HMAC-SHA1签名方法)或通过公共方式授予对另一个的访问权限. /私钥系统(使用签名方法:RSA-SHA1).坏消息是,它还没有像三足版本那样得到很好的支持,所以你可能不得不做比现在更多的工作.
基本上,两条腿OAuth只是指定了一种方式来"签名"(计算哈希)几个字段,包括当前日期,一个名为"nonce"的随机数,以及您的请求的参数.这使得很难模拟对您的Web服务的请求.
OAuth正在缓慢但肯定地成为这种事情的公认标准 - 从长远来看,如果你接受它,你将是最好的,因为人们可以利用各种可用的库来实现这一目标.
同时让两条腿和三条腿同时工作有点棘手 - 但它有可能(谷歌现在正在努力). http://code.google.com/apis/accounts/docs/OAuth.html
| 归档时间: |
|
| 查看次数: |
17947 次 |
| 最近记录: |