用非常简单的术语来说,有人可以解释OAuth 2和OAuth 1之间的区别吗?
OAuth 1现在已经过时了吗?应该实施OAuth 2吗?我没有看到很多OAuth 2的实现; 大多数人仍在使用OAuth 1,这让我怀疑OAuth 2已经可以使用了.是吗?
我有两个企业服务器需要以安全的方式进行通信,并且正在使用SSL(使用客户端/服务器证书来验证双方)与使用OAuth 2.0(可选地使用MAC令牌或JWT令牌)的双腿身份验证进行比较.
从历史上看,OAuth似乎是为了完全不同的目的而创建的(三方案例,用户允许服务访问某些地方的某些数据),虽然两条腿现在已集成到OAuth 2.0规范中,看到两条腿的OAuth 2.0似乎没有提供超过SSL的额外保护.
我能想到的唯一一点是OAuth可能比SSL更容易配置,并且容易犯错误,例如接受可能危及安全性的错误SSL证书.但是我不确定这是否足以与OAuth一起使用.
请注意,我提到这些是单独的选项,但我认为使用OAuth可能需要在HTTPS/SSL之上使用它,因此两者都将被使用.
使用OAuth 2.0双管方案进行服务器到服务器通信(没有用户参与)有什么真正的优势吗?
注意:我确实在这里发现了一个类似的帖子,但这已经很老了,但我觉得在这件事上没有得到满意的答案.
我正在使用Symfony2在PHP中编写REST API.此API旨在供各个网站用于访问数据,这将由客户端库完成.
我需要保护API,但事实证明这有点令人困惑.我做了一些研究,据我所知,一个好方法似乎是将OAuth2与客户端凭证流一起使用(参见RFC草案).我不得不承认,我对这究竟是如何工作的细节仍然很模糊,但我一直在阅读它是如此简单.我想我的第一个问题是:这是走的路还是我朝错误的方向走了?我应该使用其他方法来验证客户端吗?请记住,我需要身份,身份验证和授权.
如果是,使用客户端凭据的OAuth2就是这样,那么我问:在PHP中实现这一点的最佳方法是什么?有人真的这样做过吗?到目前为止,我一直在尝试使用oauth2-php以及没有太多运气的捆绑.虽然我不太确定,但该捆绑似乎专注于三足认证.我想知道最好的行动方案是使用oauth2-php软件包手动吗?
我非常感谢有关这方面的任何信息.提前致谢!
我正在建设一个muli-tenant saas(software as a service) architecture.我必须authentication system为系统构建.
根据我的研究,我认为我需要构建基于身份验证系统OAuth2.0和持有者令牌JWT tokens.
在阅读了很多关于如何构建OAuth2.0服务器的OAuth2.0之后,我仍然didn't understand对我full concept of OAuth是否需要它感到困惑,或者我需要一些其他的身份验证系统.
我的系统需要的是我们将向SDK所有客户提供一个并且每个客户都将拥有Application Id并a secret key使用SDK客户端将连接到他们在我们系统中的应用程序.
在application ID将客户他的申请目前映射在我们的系统和client secret key将要验证客户端application.Do里面我还需要基于OAuth2.0的构建认证系统或者我可以建立基于我们需要自己的身份验证系统?
OAUTH2.0有什么用例,何时我们不需要它来实现?