2

我正处于 REST API 规划的早期阶段(特别是为了安全性),移动应用程序通过该 API 进行身份验证,然后发送数据以存储在 Joomla 网站/数据库中(以及从 Joomla 网站/数据库中检索)。它基本上是一个应用程序到应用程序的身份验证。

我计划将 API 用于自己的内部使用,这意味着“使第三方开发人员/API 用户更容易”的其他重要方面并不那么重要。我主要担心的是,我当然想防止通过此类 API 调用注入非法信息。在某个阶段,外部审计员也可能会询问我如何正确涵盖此安全方面 - 因此我最好从一开始就做好准备......;)

SSL 计划用于客户端/服务器通信,API 也将使用用户名/密码进行身份验证,但是是否有人对使用 OAuth 作为安全层有意见(并且可能有经验)?我不是说使用用户的社交媒体密码来登录 Joomla,我的意思是在 Joomla 组件端(即 Joomla 端 REST API)实现 oAuth。

谢谢

4

1 回答 1

2

这正是我们在组织中所做的。使用 Joomla 遵循一些现有的 OAuth(我假设 OAuth 2)实现会很好,但我认为除了 vanilla php 实现之外它不存在。我们使用了这个活跃的项目,但从头开始构建我们自己的项目。这个项目考虑了所有的赠款,我怀疑如果你像我们一样进行移动应用程序身份验证,你会坚持使用Resource Owner Password Credentials Grant. 所以这真的取决于你在做什么。

所以第一部分是通过我们的移动应用程序使用 Joomla 进行身份验证。这是关于开始的帖子。我们遵循规范RF6749以遵循所需的约定并生产适当的Bearer Token等。

然后,使用 REST API 完成移动应用程序所需的操作就很简单了。

我过度简化它(特别是因为我建议仔细阅读 RFC)但是一旦你知道如何使用 Joomla 进行身份验证,你的航行。国际海事组织。

于 2013-07-25T20:12:14.343 回答