OpenIDをRESTfulWebサービスとどのように組み合わせますか?
私が取り組んでいる個人的なプロジェクトは、RPXSaaSを使用してOpenIDを実行することです。この主な結果は、ログインしたユーザーを説明するURLです。アプリ自体はかなりJavascriptであり、データベースの永続性と空間処理のためにバックエンドと通信するためにRESTAPIを使用することを計画しています。
このアプリケーションのセキュリティ要件は大きくありません。どのユーザーがリクエストを行っているのか知りたい。データの機密保持のためにSSLを使用する必要はないと思います。また、SSLを実行するオーバーヘッドは必要ありません。
私はSpringを使用しており、可能であればSpring Security(Acegi)を使用したいと思っていますが、その考えに固執していません。
オプション:
OpenID URLをJavascriptアプリに返し、これを使用してユーザーのリソースのリストを取得してから、それらのリソースをIDで取得/保存などします。
OpenIDURLをランダムセッショントークンに接続するセッションテーブルを作成します。トークンをJavascriptアプリに返します。その後、Javascriptアプリは、後続のすべてのリクエストでトークンを返す必要があります。
オプション2のセッションをOAuthのコンシューマートークンなどとして使用します。最初に、セッションはPKI暗号化を使用してアプリに送信されます。
J2EEHTTPセッションに依存します。
これらのオプションのうち、私はオプション2に傾倒しています。攻撃者はセッションIDを推測する必要があり、アプリケーションがスニッフィングからの保護を必要とするとは思わないため、セッションのハイジャックは困難です。オプション3は基本的にオプション2と同じですが、セッションIDはスニッフィングに使用できません。オプション4は、OpenID URLをサーバーのメモリに配置し、RESTが回避するように設計されているすべてのスケーラビリティの問題を引き起こします。
これについての議論に感謝します。