5

私は現在取り組んでいるRESTAPIのOAuthバージョン1.0を調査してきました。

3つの認証シナリオがあります

  1. これには、サービスプロバイダー、コンシューマー、およびユーザーの3者が関与します。3本足のOauthはこのシナリオに一致します。
  2. 消費者とサービスプロバイダーの2つの関係者が関与します。これは、2本足のOauthが最も適切なシナリオですか。その場合、私の理解では、これとHTTP基本認証の間にほとんど違いがないため、プロセスはどのようになりますか。
  3. また、ユーザーの許可なしに、現在ログインしているユーザーのデータに常にアクセスできる特別なタイプのユーザーを作成しています。OAuthを実装しながら、これをどのように全体像に適合させることができますか。

このシナリオを使用しますか?Oauthをきちんと実装するにはどうすればよいですか?また、これは3本足と2本足のOauthプロセスを理解するのにどのように役立ちますか?

4

1 に答える 1

1

番号1:正解です。通常の3本足のOAuthフローを使用してください。

番号2。2本足のoauthはhttp-basicとほとんど同じですが、oauth署名がMITM攻撃に対する保護を提供する点が異なります(ただし、TLSを介してhttp-basicを使用する場合は、同じ保護が得られます)。2本足のoauthのプロセスは、httpBasicを介したユーザー名/パスワードと同義のコンシューマーキー/シークレットを使用してリクエストに署名するだけです。

番号3。ここでの意味は100%明確ではありませんが、GoogleがGoogleアプリのドメインに2本足のOAuthを使用する方法と似ています。こちらのドキュメントをご覧ください:https ://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth

OAuth 2.0を調べましたか?まだドラフト中ですが、さまざまなシナリオに対してはるかに柔軟性があります。考慮すべきことがあるかもしれません。http://oauth.net/2/

于 2012-03-02T15:30:40.517 に答える