我们正在为将 OpenID 作为身份验证选项的应用程序设计 Web 服务。问题来了,我们以后如何为这个用户启用 API 访问?
为了清楚起见,这里是一个例子:
1) 用户 A 访问该站点并使用 Yahoo(或其他)OpenID 进行注册 2) 稍后我们希望启用 API 访问代表该用户行事的后端同步应用程序。3) 出于安全原因,不能为应用提供可以访问所有帐户的密钥
使用这种模式的例子有哪些?
问问题
550 次
1 回答
1
标准 OpenID 需要浏览器,因为它依赖于能够从外部站点加载页面来完成登录过程。因此它不适合服务器到服务器 API 的使用。
使用OAuth作为服务器到服务器 API 的身份验证机制更为常见。虽然标准 OAuth 还需要浏览器和用户交互流来授予对新应用程序的访问权限,但它会生成一个令牌,然后应用程序可以使用该令牌代表用户处理用户无人参与的请求。
Facebook 可能是 API 的 OAuth 2 最知名的用户,它的登录架构文档描述了他们在高级别支持的各种登录流程。名为“服务器端登录”的一种是传统的 OAuth 流程,而另一些则是支持不同用例的不同方法,例如移动应用程序登录和从嵌入在其他站点的客户端 JavaScript 访问。
于 2013-03-17T01:43:48.330 回答