問題タブ [2-legged]

HTTPS で OAuth(2-legged) が必要ですか。3 本足のシナリオでは、委任の目的で oauth を使用します。しかし、https を介した Oauth(2-legged) の目的は何ですか。

私のシナリオでは、私は消費者でありユーザーでもあるため、認証は必要なく、https を使用します。https は再生可能ではなく、安全なチャネルでもあります。あなたが言うことは私が宣誓を使うべきですか

私は三本足やhttpについて話しているのではありません

I am building a 2-Legged OAuth provider for my api. Everything is hooked up properly and I can make signed calls from the rails console. The problem I have is that I am having trouble integrating OAuth into the controller_spec.

Here is an example of a working call on my server:

And here is what I am doing in my controller tests:

The output of that test:

And the corresponding server call from the rails log:

I just can't figure out why it's not working :/ Am I making an obvious mistake?

私は現在取り組んでいるRESTAPIのOAuthバージョン1.0を調査してきました。

3つの認証シナリオがあります

1. これには、サービスプロバイダー、コンシューマー、およびユーザーの3者が関与します。3本足のOauthはこのシナリオに一致します。
2. 消費者とサービスプロバイダーの2つの関係者が関与します。これは、2本足のOauthが最も適切なシナリオですか。その場合、私の理解では、これとHTTP基本認証の間にほとんど違いがないため、プロセスはどのようになりますか。
3. また、ユーザーの許可なしに、現在ログインしているユーザーのデータに常にアクセスできる特別なタイプのユーザーを作成しています。OAuthを実装しながら、これをどのように全体像に適合させることができますか。

このシナリオを使用しますか？Oauthをきちんと実装するにはどうすればよいですか？また、これは3本足と2本足のOauthプロセスを理解するのにどのように役立ちますか？

2-legged OAuth を前提として、独自の Web サービスを構築しています。

認証された各リクエストには、含まれる HMAC があります。

私はそれが次のようにできることを知っています:

HMAC はすべてのアクションのパラメーターに含める必要があるためです。その弱く型付けされ、がらくた。

私はこのようなことをしたかった：

私はこれを見つけました、そしてそれは私がカスタムモーダルバインダーを見るべきだと言ったので、私はこれを見つけました、そしてそれを読んだ後、私はそれをどのように機能させることができるかわかりません.

私の目標は、URLパラメーターに配置されている（私が推測する）HMACを使用して認証（/承認）することです。つまり、 http://www.website.com/foo/bar?username=xxx&hmac=xxxxxxxxx

誰かが私が読むことができる参照または直接的な解決策を持っているかどうか知りたい.
また、API セキュリティの基本的な理解、または私がどのように物事を行っているかについての批判を歓迎します。私はこの分野にはかなり慣れていません。

3 本足のフローでは、アクセス トークンと交換できるコードを取得できる callbackAuthorize があります。2 本足の oauth に似たようなもの (認証トークンを使用してコールバックする) があるのか​​、単に認証 URL に client_id + client_secret を指定し、応答が認証トークンなのか疑問に思っています。

2-legged OAuth のユーザー アカウントを使用してメイン サービスを提供するシステムを用意しています。また、呼び出す API を備えたサービスを提供する別のシステムがありますが、3-legged OAuth を使用して認証します。現在、2 つのシステムには独立したユーザー ベースがあります。ここで、メイン システムのユーザー ベースを保持し、API システム コールをメイン システムに統合したいと考えています。API システムのユーザー ベースを削除する方法もあります (そこに保持するが、もう使用しないことを意味します)。

ユーザーケースは以下のとおりです。

• メインシステムのユーザー登録アカウント (1)
• 別のアカウントが API システムで自動的に作成された (2)
• メイン システムが API システムから情報を取得/保存する必要がある場合 (CRUD タスク)、(2) で自動化されたユーザー情報作成を使用して 3-legged OAuth を実行し、API システムへの認証を行い、それぞれのタスクを実行します。(3)

そのような統合を実装するためのオプションの選択肢は何ですか? 両方のシステムのコード ベースを変更したくありません。メイン システムまたは API システムのいずれかから OAuth を完全に削除することは不可能です。どちらも Python Django フレームワークを使用したシステムです。

私の消費者コードは次のとおりです、

GoogleOAuthParameters oauthParameters = new GoogleOAuthParameters（）;

そして、私のOAuthサーバーサイドコードは次のとおりです。

上記の署名の検証は失敗しますが、何が悪いのかわかりません。助けてください。

これで、GoogleDocsApiと2本足のOAuthを使用したアプリケーションができました。ただし、Oauth2.0を使用するGoogleDriveApiに移行したいと考えています。

Google Drive Apiで2本足のOAuthを使用できますか？例はありますか？