我一直在探索OAuth版本1.0,用于我目前正在开发的REST API
我有3种身份验证场景
- 这涉及到三方,即服务提供商、消费者和用户。3格的Oauth符合这种情况
- 涉及两方,消费者和服务提供商。这是一个2格Oauth最适用的场景吗?如果是,过程是什么,因为根据我的理解,这与HTTP基本身份验证几乎没有区别
- 我还创建了一种特殊类型的用户,它可以在没有用户授权的情况下访问当前登录的用户的数据。在实现OAuth的同时,这怎么能符合实际呢
使用这种场景?我如何巧妙地实现Oauth,这如何帮助我理解3兆和2兆Oauth过程?
数字1:正确,只需使用典型的3格oauth流。
第二。2格oauth与http基本相同,只是oauth签名为您提供了抵御MITM攻击的保护(但如果您通过TLS使用http基本,则可以获得相同的保护)。2-标签oauth的过程只是使用使用者密钥/机密对请求进行签名,该密钥/机密与http基础上的用户名/密码同义。
数字3。我不是100%清楚你在这里的意思,但这听起来类似于谷歌在谷歌应用程序域中使用2格oauth。在此处查看他们的文档:https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth
你研究过OAuth 2.0吗?它仍在起草中,但对于不同的场景有更大的灵活性。可能需要考虑。http://oauth.net/2/