为 iOS/Android 应用程序保护基于 REST 的服务的选项

Question

我正在开发一个实现在线购物功能的 Web 应用程序。我正在使用 Struts2 + Spring + Hibernate。我正在使用 Spring 安全性来实现授权和身份验证。

现在我的客户想要开发一个 iOS/Android 应用程序，让我的网络应用程序的用户可以登录并使用该应用程序的某些功能。

移动应用程序将访问 JSON 上基于 REST 的 Web 服务，该服务将使用 Jersey 实现。以下是我的问题：

1. 用户将拥有其中三个角色中的一个角色。根据角色，他们应该能够访问特定资源。我正在考虑将 Spring Security 2.0 与 Jersey 一起使用，并使用 OAuth 2.0 对用户进行身份验证。 OAuth 2.0 是正确的适用选择吗？

2. 此外，Jersey 不支持服务器端的 oAuth 2.0。仍然我想我应该能够使用任何其他 OAuth 提供商来保护 Jersey 服务，对吗？

3. 如果 oAuth 不是正确的选择，那么我可以使用什么来为移动应用程序用户提供基于角色的身份验证和授权到我的 REST Web 服务。

Answer 1

在不得不处理同样的问题后，我做了一些研究，目前我可以看到 3 个解决方案。

1. Pivotal 实际上有一个用于他们的 cloudfoundry 服务的软件，称为 UAA（用户帐户和身份验证）服务器。你可以将它部署到你自己的服务器上，它的作用基本上是提供 OAuth2 访问令牌。如果请求中提供了正确的 OAuth 令牌，您将需要创建自己的资源服务器，该服务器将提供不同的资源。 （他们在 UAA 存储库中有几个示例应用程序可供您使用）https://github.com/cloudfoundry/uaa

2. Google 实际上提供了类似的服务。如果你在 appengine 上托管你的后端，你可以使用云端点来公开你的 API，它们负责身份验证和授权。 https://cloud.google.com/appengine/docs/java/endpoints/

3. 您可以创建自己的架构。基本方法是拥有一个授权服务器（生成令牌）、一个资源服务器（为您的 API 提供服务）以及某种用于用户和令牌的存储。

希望对你有所帮助，我个人会和 UAA 一起去尝试一下。

Answer 2

不要忘记您可以使用简单的 HTTP BASIC 身份验证（当然，使用 SSL）。

有关 OAuth 版本的比较，请参阅this.