5

我一直在探索我目前正在使用的 REST API 的 OAuth 版本 1.0。

我有 3 个身份验证方案

  1. 这涉及3方,服务提供者、消费者和用户。三足 Oauth 符合这种情况。
  2. 涉及两方,消费者和服务提供者。这是 2-legged Oauth 最适用的场景吗?如果是,那么流程是什么,因为根据我的理解,这与 HTTP 基本身份验证之间几乎没有区别。
  3. 我还在创建一种特殊类型的用户,它可以在没有用户授权的情况下随时访问当前登录的用户数据。在仍然实施 OAuth 的同时,这如何适应图片。

使用这种场景?如何巧妙地实施 Oauth,这如何帮助我理解 3-legged 和 2-legged Oauth 流程?

4

1 回答 1

1

第 1 点:正确,只需使用典型的 3-legged oauth 流程。

数字 2. 2-legged oauth 与 http-basic 几乎相同,除了 oauth 签名可以保护您免受 MITM 攻击(但如果您使用 http-basic over TLS,则可以获得相同的保护)。2-legged oauth 的过程只是使用消费者密钥/秘密对请求进行签名,这与 http basic 上的用户名/密码同义。

3 号。我不是 100% 清楚你在这里的意思,但这听起来类似于谷歌如何为谷歌应用程序域使用 2-legged oauth。在这里查看他们的文档:https ://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth

您是否研究过 OAuth 2.0?它仍处于草案阶段,但它对于不同的场景具有更大的灵活性。可能是需要考虑的事情。http://oauth.net/2/

于 2012-03-02T15:30:40.517 回答