我有一个用 PHP(Slim framework) 编写的 REST API,我的 API 包含一些用于管理私有数据的管理路由。我已经实现了 oAuth2.0 进行授权(this php implementation)。
我喜欢使用 AngularJS 来创建一个管理 web 应用程序,以便用户可以管理自己的数据。
我现在正在使用用户名-密码流程,但我了解到这并不安全,因为我的 webapp 公开了 client_id 和 client_secret。
我还研究了隐式授权(专为公共客户设计),但它说它应该用于只读目的。
我还想使用此 API 为移动应用程序提供数据。用户无需为此登录,但数据不公开。
哪种 oauth 授权适合这种情况/设置?
【问题讨论】:
标签: php angularjs rest oauth-2.0 authorization
看看Resource Owner Password Credentials Grant。这是您提供的第二个链接中的第 4 个要点。 password (user credentials)
https://www.rfc-editor.org/rfc/rfc6749#section-4.3
简单地说:
login 和password
access_token(相当于旧的cookie会话ID)access_token 连同他们的其余请求另外, 如果您想在保持数据私密的同时授予移动设备访问权限,我建议您生成与移动 mac 地址相关联的“免费”帐户。然后让他们使用他们的mac地址作为登录名/密码为空进行上述身份验证。这样,您就可以在每个设备上使用节流/禁止/升级/等实现相同的用户逻辑。
【讨论】:
Resource Owner和3rd Party。例如,如果我尝试直接登录 facebook,我就是资源所有者。但是,如果某些第 3 方尝试使用我的凭据登录,则需要添加 client_id/client_secret 来验证所述第 3 方。
我知道我将 Python 发布到一个 PHP 问题中,但这与代码无关。该示例 (http://python-eve.org/authentication.html#auth) 详细解释了哪些身份验证方法可用于良好的 REST API,并且可能对您的应用程序有用。
【讨论】:
如果您对留下客户端凭据或授权代码的隐式或用户名密码不满意。
客户端凭据在这种情况下不适用,因为无法在浏览器上运行的 javascript 应用程序中保护凭据(如果您正在谈论证书,甚至可能无法使用客户端凭据)。
所以授权码是你唯一的选择。
但是,您无法在授权代码流中保护客户端机密。
隐式确实是浏览器应用程序的唯一 OAuth2 选项。 OAuth 威胁模型中有一个部分讨论了潜在问题和缓解措施。 https://www.rfc-editor.org/rfc/rfc6819#section-4.4.2
这是另一个关于隐式授权的安全含义的问题。 How secure is Oauth 2.0 Implicit Grant?
【讨论】:
由于堆栈溢出是愚蠢的,我无法发表评论,因为我不经常访问此站点。但是,在我提供解决方案之前,我想知道您在什么情况下需要用户不登录才能更新数据?
【讨论】: