2

我有一个 GAE 应用程序和服务。对用户进行身份验证相对容易,但是,我不确定如何对想要使用我的服务的服务器进行身份验证。具体来说,我有另一台服务器将访问这些服务。我正在使用 Google 登录进行身份验证(OAuth 2.0)我有这样的想法:

  1. 第一次,我会为服务器创建一个谷歌帐户,并以某种方式手动为服务器检索令牌,存储它并在每次我需要访问我的 GAE 服务时刷新它
  2. 进行某种私钥/公钥身份验证。我将为请求服务的服务器创建一个私钥,并将公钥存储在 GAE 应用程序中。不确定是否存在这样的事情。

任何人有任何想法如何解决这个问题?谢谢

4

1 回答 1

0

我会研究OAuth 2 规范的客户端凭据授予部分

例如,这就是 twitter 进行应用程序验证的方式(参见https://dev.twitter.com/docs/auth/application-only-auth

也就是说,我个人认为有比 OAuth2 提供的更好的服务器到服务器身份验证方法(而且我并不孤单);我认为您的第 2 点是更可靠的替代方案,但安全性确实很难正确实施!我通常建议不要这样做(如果可能的话,我自己会避免这样做)。

因此,如果您找到实现此模式的可靠方法,那就太好了。否则,请坚持使用可靠的 OAuth2 库。

于 2013-07-18T14:55:04.417 回答