3

私の会社は他のウェブサイトにサービスを提供しています。実装しているサービスにクエリを送信し、応答を受信して​​結果をページに表示する、サイトに埋め込む簡単なコードスニペット(ウィジェットなど)を提供できるようにしたいと思います。私は彼らの努力を最小限に抑え、可能な限り最小のスニペットのみを提供したいと思います。これが、すべてクライアント側に留めておきたい理由でもあります。

問題は、サイトからコードをコピーした他の人ではなく、クライアントが実際に電話をかけていることを確認したいということです。Webクライアントのoauth2フローを調べましたが、クライアントの認証が有効になっていないようです。コールバックURLをクライアントが私のサービスに登録したURLと比較することによって、クライアントを検証する方法があると言っています。

私の質問:

  1. より良いアプローチはありますか?
  2. クライアントを検証するために説明されている方法を含む、oauth2クライアント側のアプローチは十分に安全ですか?
  3. 提案された実装に行く場合、何に注意を払う必要がありますか?
4

1 に答える 1

0

OAuth-2.0で定義されているように、クライアント資格情報付与承認を使用できます。これにより、個別のクライアントごとに個別のクライアントトークンとクライアントシークレットを割り当てることができ、トークンを送信してアクセストークンを取得し、アクセストークンを使用してデータを要求します。

または、OAuthをすべてスキップして、各クライアントに割り当てられた証明書でSOAPWS-Securityを使用してWebサービスを承認することもできます。

于 2012-06-15T07:22:57.767 に答える