認証オプションとして OpenID を使用するアプリケーション用の Web サービスを設計しています。後でこのユーザーの API アクセスを有効にするにはどうすればよいかという疑問が生じました。
明確にするために、ここに例を示します。
1) ユーザー A がサイトにアクセスし、Yahoo (または他の) OpenID を使用して登録します。2) 後で、このユーザーに代わって動作するバックエンド同期アプリへの API アクセスを有効にしたいと考えています。3) セキュリティ上の理由から、どこにいてもすべてのアカウントにアクセスできるキーをアプリに与えることはできません。
そのようなパターンを使用する例は何ですか?
標準の OpenID では、サインイン プロセスを完了するために外部サイトからページを読み込めることに依存しているため、ブラウザが必要です。したがって、サーバー間 API の使用には適していません。
サーバー間 API の認証メカニズムとしてOAuthを使用する方が一般的です。標準の OAuth には、新しいアプリケーションへのアクセスを許可するためのブラウザーとユーザー対話型フローも必要ですが、ユーザーの不在の要求に対してユーザーに代わってアプリケーションが使用できるトークンになります。
Facebook はおそらく API 向け OAuth 2 の最も知名度の高いユーザーであり、Facebook のログイン アーキテクチャドキュメントでは、Facebook がサポートするさまざまなログイン フローを高レベルで説明しています。「サーバー側のログイン」と題されたものは従来の OAuth フローですが、他のものは、モバイル アプリのサインインや、他のサイトに埋め込まれたクライアント側の JavaScript からのアクセスなど、さまざまなユース ケースをサポートするさまざまなアプローチです。