精确
App1 应该对 AuthApp 的查询进行身份验证:安全且简单的最佳方式是什么?
细节
我们正在将集成应用程序的一部分移动到一组专用的、独立的应用程序中,每个应用程序都专注于一个主要领域,以便在我们的主要应用程序之间共享服务。
该计划的一个特别重要的部分是用户身份验证和联系方式应通过中央“AuthApp”进行管理。
例如,当用户登录时,现有应用程序将充当 AuthApp 的代理。现有应用程序(例如 App1)将询问 AuthApp 用户(例如 User1)是否提供了正确的登录详细信息。
目前 App1 和 AuthApp 共享同一个局域网,通过 https 进行通信。这些因素在未来可能会发生变化,无论如何我们有兴趣知道人们认为 App1 应该向 AuthApp 验证其查询的最佳方式是什么,假设 App1 至少使用 UUID 向 AuthApp 注册。
哪个更好?
A.1 App1 : /token/<app1token>/user/<userid>/checkok
A.2 Authapp : response : whatever
或这个:
B.1 App1 : /login/token (POST : passphrase)
B.2 AuthApp : response : session uuid
B.3 App1 : /token/<session_uuid>/user/<userid>/checkok
由于我们将在应用程序和 AuthApp 之间进行大量活动,因此我们希望保持简单,并且我很想知道有关如何最好地做到这一点的任何想法。
我猜理想是一种类似于 Kerberos 可再生票证的机制——尽管我们热衷于避免 Kerberos 的开销和复杂性。