16

新しい公開 Web サイト用の REST-ful Web サービスを開発する予定です。Web サービスの背後にあるアイデアは、サード パーティにビジネス ロジック用の完全に機能する UI を開発させることです。

セキュリティ上の理由から、ユーザーが私たちのサービスのパスワードをサード パーティのアプリケーションに提供する必要がないようにしたいと考えています。(おそらくこれは大きな懸念事項ではないでしょうか?) 代わりに、サードパーティのアプリに認証トークンを提供するが、実際のパスワードは第三者の手に渡らないようにする、ある種のログイン システムをサイトに実装しようと考えています。

これにより、OpenID がここでの潜在的な解決策になるのではないかと考えました。それは機能するはずです。実際のパスワードは OpenID プロバイダーによって処理されるため、サードパーティのアプリには依存しません。問題はおそらくさまざまなパススルーにあると思いますが、それは管理できるはずです.

ただし、これについては Google で可能な情報が驚くほど不足しているため、SO の意見が欲しいです。誰かが以前に同様のシステムを実装したことがありますか? それは可能ですか?苦労する価値はありますか?

4

3 に答える 3

13

あなたが望むのは OAuth であることに完全に同意します。私は、OAuth システムと OpenID システムの両方に取り組んできたと言います。また、REST Web サービス API を開発する必要があり、何度かあなたの船に乗りました。

OAuth に関する非常に優れたアイデアと、OAuth が必要な理由については、添付の記事を参照してください。

これらは必読です。4 つの部分があり、すべてを読んでください: http://hueniverse.com/oauth/guide/

RFC、ほとんどの人にとって少し気が遠くなる可能性があるため、上記を読んだ後に読んでください: http://oauth.net/core/1.0

そして最後に、おそらくいくつかのコードです。Java/Groovy を使用して OAuth を実行するプロジェクトをいくつかホストしています。1 つは普通の古い OAuth クライアントで、もう 1 つは NetFlix との特定の対話用のクライアントです。 http://www.blueleftistconstructor.com/projects/

REST の経験が比較的浅い (まだ本格的な Web API を構築していない) 場合は、Richardson & Ruby の「RESTful Web Services」を購入する (または、上司に使ってもらうのがよい) ことをお勧めします。オライリーの本です。ここ数年でデビューした彼らの優れた本の 1 つと言えます。

また、RESTful OAuth ベースの API を確認することも役立つ場合があります。NetFlix API は完璧な例です: http://developer.netflix.com/docs

幸運と幸せなコーディング!

于 2009-01-09T21:17:28.090 に答える
2

これまでのところ、価値のあるリンクが 1 つ見つかりました。

http://markmail.org/message/utf7js473zqv45hv

この会話では、「OpenID Exchange」と呼ばれるものに言及していますが、これは私の路地裏にあります...しかし、含まれているリンクは壊れており、Google にはそれに関する確かな情報はあまりありません。

OAuth がチケットのようです: http://oauth.net/

于 2008-12-22T18:41:35.487 に答える
0

私たちは、SOAP Web サービスに OpenID 認証を統合するプロジェクトに取り組んでいます。私たちのプロジェクトはhttp://code.google.com/p/ws-sandhana/にあります。

OpenID 認証を使用して Web サービスに Single Sing On を提供できます。また、サービス セキュリティ ポリシーを定義することで、信頼できる OpenID プロバイダーとユーザーの必須属性を適用できます。

これは、Apache Axis2 Web サービス エンジンのセキュリティ モジュールである Apache Rampart のオープン ソース実装です。詳細については、 http://sandhana-project.blogspot.com / で私たちのブログをご覧ください。

于 2011-09-16T04:55:35.250 に答える