2 个受信任服务器之间的身份验证流程

【问题标题】:Authentication flow between 2 trusted servers2 个受信任服务器之间的身份验证流程
【发布时间】:2016-03-22 23:38:44
【问题描述】:

我们希望使用现有服务器来验证对新的第二台服务器的请求。两台服务器都是可信的,建议的工作流程如下所示。

我们可以在这个例子中假设服务器 2 无权访问服务器 1 的身份验证令牌数据库。

  1. 用户向服务器 1 发送用户名/密码,服务器以身份验证令牌响应。
  2. 用户从服务器 2 请求资源,包括来自服务器 1 的身份验证令牌
  3. 服务器 2 与服务器 1 核对身份验证令牌是否有效
  4. 如果令牌有效,则服务器 2 以请求的资源响应

此流程是否有特定名称?它似乎与我见过的任何 OAuth 流程都不完全匹配。

这个流程被认为是个好主意吗?如果没有,会推荐什么替代方案?

这个流程似乎与How should a Facebook user access token be consumed on the server-side? 中推荐的流程几乎相同,只是我们这里没有使用 Facebook。

【问题讨论】:

    标签: security authentication oauth oauth-2.0


    【解决方案1】:

    您是否检查过 OAuth 2,我想这会更适合您的要求。

    【讨论】:

    • 您能说得更具体些吗?您会推荐哪种 OAuth 流程?
    • 第 1.2 节:协议流tools.ietf.org/html/rfc6749,希望对您有所帮助
    • 流程主要取决于客户:是公开的还是保密的?一个脚本,一个本机应用程序......无论如何@SecurityNinja 是对的,OAuth2 框架协议应该适合您的需求。在OAuth2语言中,服务器1是“授权服务器”,服务器2是“资源服务器”,App是“客户端”
    • 谢谢,我知道“资源所有者密码凭据授予”流程适合此处。但是,我不清楚“资源服务器”如何与“授权服务器”通信?
    • RFC7662 (tools.ietf.org/html/rfc7662) 可以回答这个问题。它定义了一个通信协议来验证访问令牌是否仍然有效。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2011-09-09
    • 2012-05-05
    • 1970-01-01
    • 1970-01-01
    • 2011-11-11
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode