問題タブ [oauth-provider]

私は OAuth 仕様、その要件、および見つけられる実装について自分なりの方法を見つけようとしていますが、これまでのところ、すべてをまとめる単一のリソースを見つけるのに苦労しているため、その価値よりも問題が多いようです。 . あるいは、ほとんどのチュートリアルよりも専門的なものを探しているだけかもしれません。

私は既存の API のセット (Java のものと PHP のもの) を持っており、それらを保護する必要があります。いくつかの理由から、OAuth が正しい方法のように思えます。残念ながら、プロバイダーを立ち上げて実行するのに役立つ適切なリソースを追跡できないことは、その理論に挑戦しています. これのほとんどはシステム間で API を使用するため、2 脚のプロバイダーを実装する必要があります。それを念頭に置いて...

1. PHP で 2-legged OAuth プロバイダーを実装するための優れたチュートリアルを知っている人はいますか?
2. セキュリティ保護可能な API を 2 つの言語で使用している場合、両方でプロバイダーを実装する必要がありますか?それとも、すべての要求を通すことができる "フロント コントローラー" としてプロバイダーを作成する方法はありますか?
3. たとえば、PHP サービスを保護する場合、各 API に必要なプロバイダー リソースを含めて、各 API を個別に保護する必要がありますか?

ご協力いただきありがとうございます。

保護したいAPIを備えたRails2.3.5アプリケーションがあります。

ユーザーは存在しません。これはアプリからアプリへのスタイルのWebサービス（FacebookよりもAmazonサービスに似ています）なので、2本足のOAuthアプローチを使用して実装したいと思います。

私は最初にoauth-pluginサーバーの実装を使用しようとしています：

http://github.com/pelle/oauth-plugin

...しかし、3本足（Webリダイレクトフロー）のOAuthを期待して構築されています。

2本足をサポートするために変更を加える前に、もっと簡単な方法があるかどうか、またはRailsアプリが2本足のOAuthプロバイダーであることを実装するためのより良いアプローチがあるかどうかを確認したいと思いました。

私のアプリケーションでは、ユーザーは openid 経由でサインイン/サインアウトします ( stackoverflow と同じ)。

oauth を介してサードパーティ アプリケーションにアプリケーションを少し開放したいと考えています。

openid-consumer のアプリを作成して oauth-provider にするにはどうすればよいですか?

標準ライブラリなどはありますか？私は基本的にアプリ エンジンと python で作業しています。

編集 ：

たぶん、私は自分の問題を明確に述べていませんでした。認証に OpenID を使用しています。そのため、ユーザーのパスワードはなく、一意のフェデレーション ID しかありません。私のアプリケーションは、サードパーティのアプリケーションを使用する必要があります。つまり、orkut と facebook 内で実行される一種のアプリケーションです。(opensocial は OAuth の代わりに実行可能なオプションだと思いますか??)

OAuth2 仕様、特にセクション 5.1.5に関する簡単な質問。

その仕様を読むと、要求された形式に関係なく、応答を JSON としてフォーマットする必要があるようです。それは標準ですか、それとも他の形式 (XML など) もサポートされていますか? ありがとう。

さて、PHP で OAuth プロバイダーをセットアップしようとしていますが、コツがつかめません。私はこのページを何度も参照してきましたが、頭を包むことができません。誰かが私を一歩一歩助けてくれますか、それともより直接的なガイドを紹介してくれますか? どうもありがとうございました。

ユーザーデータへのアクセスを確認せずに oauth/oauth2 を使用して、信頼できるサイト (たとえば、ある開発者のサイト) で作業する可能性はありますか?

intridea ( http://github.com/intridea/oauth2 ) による oauth2 gem の使用を開始しましたが、この問題を解決する方法がわかりません。クライアントとサーバーの両方を開発しましたが、access_token の要求に応じて、grant_type パラメーターが表示されません。クライアント コールバック コントローラーからの私のコード

およびユーザーモデルから

プロバイダーからのログ

そしてクライアントから

それを修正する方法はありますか？

私はサーバー側で OAuth プロトコルのプロバイダー部分を作成しており、キャッシュする必要がある OAuth コンシューマーから送信された nonce の量について先を争っています。

ツイッターのドキュメントによると、

Twitter では、アプリケーションで nonce を使用できるのは 1 回だけです。リプレイされたリクエストを防ぎます。

質問: 私の実装では、受信した各ノンスを memcached に追加するだけです。しかし、これは多くのメモリスペースを占有します。理想的にはどれくらいのノンスをキャッシュする必要がありますか?

PECL OAuthProvider を使用して PHP で OAuth 署名を検証しようとしています。しかし、そのほとんどの機能は文書化されていません。例) http://www.php.net/manual/en/oauthprovider.setparam.php

私は何をすべきか？PECL OAuthProvider の非公式ドキュメントまたはサンプル コードはありますか?

Rails 2.3.5アプリケーションに以下を提供する使用可能なgemを見つけるのに苦労しています:

• oAuth 2 で API を保護したい。したがって、アクセス/リクエスト トークンとモデル (クライアント、トークンなど) を作成するためのコントローラーが必要です。
• Facebook や Twitter などの oAuth2 サービスを利用したい

また、3 脚認証と 2 脚認証のサポートがあると便利です。

私はそれらの宝石を見つけましたが、それらにはすべて大きな欠点があります。

• oauth-ruby (github.com/oauth/oauth-ruby)
  • すでに oauth2 メカニズムを実装しているかどうかはよくわかりません
  • 上にあるサービスの基本的なライブラリのようなもの

• oauth-plugin (github.com/pelle/oauth-plugin)
  • 便利に見えますが、oauth2はrails3ブランチでのみサポートされています:(

• oauth2 (github.com/intridea/oauth2)
  • oAuth2 コンシューマー専用 / プロバイダー機能なし

• oauth2-ruby (github.com/aflatter/oauth2-ruby/tree/)
  • 最後のコミット: 16.07.10 "DESCTRUCTIVE COMMIT" :(
  • oAuth2 Draft 00 に基づく (古い!)

• oauth2 プロバイダー (github.com/ThoughtWorksStudios/oauth2_provider)
  • 最後のコミット: 21.10.10 - 良い
  • プロバイダー機能のみ:(
  • oAuth2 Draft 09 (ごく最近) に基づく

これらの gem の 1 つまたは組み合わせでこれらの要件を達成した人はいますか? 道順を教えてください。

どんな助けでも大歓迎です！