【问题标题】:Understanding OAuth2.0 and REST API Security了解 OAuth2.0 和 REST API 安全性
【发布时间】:2014-09-24 14:27:19
【问题描述】:

在我目前的工作中,我必须开发一个实习生 REST API 引擎。 我已经阅读了 Roy Fielding 的论文,记录了自己,我终于得到了一些非常易于使用、具有高性能且符合 Fielding REST 规范的东西。

只有一点我真的不知道如何克服:安全问题。

再次,我记录了自己,我想在我的引擎中使用 OAuth2.0。 问题是我根本不明白如何使用这个协议。

  • 我不明白消费者如何连接自己并被服务器识别。
  • 我不知道是否必须向我的消费者提供 API 密钥(如 Facebook、Twitter 和 Google 提供),或者如果我向服务器发送登录名/密码是否会自动生成令牌
  • 我不知道是否必须创建自己的 OAuth2.0 服务器来提供密钥,或者 OAuth2.0 库是否足以提供安全性。

其实我对OAuth2.0一点都不懂,还需要学习。问题是,我尝试阅读的每个文档都像中文,我没有找到一个简单的,一步一步来帮助我。

这就是我在这里发帖的原因,您能帮我多了解一点 OAuth2.0 和 API 的安全身份验证吗?

我很乐意不谈论这些技术,因为我想在技术上应用之前了解 OAuth2.0。

谢谢大家

【问题讨论】:

    标签: rest oauth-2.0


    【解决方案1】:

    OAuth(两个版本)的主要问题是您会看到很多关于三足版本的讨论。也就是说,当您拥有用户、数据提供服务和消费服务时,假设一个服务将创建您的 flickr 照片的物理副本。在这种情况下,OAuth 流程允许用户告诉 flickr 第三方可以访问他们的数据。这不是您所追求的场景,您对 2-legged OAuth 感兴趣,请参阅 here 了解说明。

    当然你也可以看看其他方法。我在许多 REST/超媒体 API 中使用了 HAWK,发现它在 nodejs 和 .NET 服务器堆栈中都非常适合。

    【讨论】:

    • 感谢您对 NodeJS 的一点解释。我实际上正在研究文档,很难理解所有内容...... :-/ 。我要继续我的阅读
    【解决方案2】:

    感谢您的回答,我研究了更多 OAUth2 并尝试使用 3 个策略来实现它:basic、clientPassword、bearer。

    我为另一个问题创建了一个新线程,如果你想参与其中:

    OAuth2 server creation with nodejs

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-09-08
      • 1970-01-01
      • 2014-04-23
      • 2012-06-16
      • 2021-02-24
      • 1970-01-01
      • 1970-01-01
      • 2015-05-22
      相关资源
      最近更新 更多