Wie kann ich einen Kunden auf oAuth-ähnliche Weise autorisieren?

StackOverflow https://stackoverflow.com/questions/5307350

  •  24-10-2019
  •  | 
  •  

Frage

Nehmen wir an, ich habe 2 Server (Server und Authentikator) und ich habe einen Client. Mein Endziel hier ist es, den Client auf dem Server identifizieren zu können. Meine Lösung war es, ein Token/Secret -System wie OAuth zu finden: Client hat ein Token und ein Geheimnis. Es gibt es an den Server. Der Server gibt es an Authenticator weiter. Wenn gültig ist, erlaubt der Server die Anforderung.

Offensichtlich ist dies nicht optimal, nur für die Anzahl der Anfragen, die gestellt werden. Der Grund, warum Authenticator und Server getrennt sind, liegt darin, dass dies für einen dezentralen Dienst liegt- eine beliebige Anzahl von Servern kann verwendet werden und es ist unpraktisch, Client-Bibliotheken zu bitten, sich auf jedem Server zu registrieren.

Die Frage bleibt also, was ist der beste/korrekte Weg, dies zu tun? Ziel ist es, ein System zu erstellen, das dezentralisiert ist, aber auch die Clients relativ sicher für den Server identifizieren können.

War es hilfreich?

Lösung 2

Es stellte sich heraus, dass die Lösung mein Problem ein bisschen besser definieren sollte. Da ich nur versuche, eine Möglichkeit zum Blockieren von Anwendungen zu erstellen, muss ich nur ihren Namen und die Schlüssel speichern, wenn sie den Server anfordern. Dann werden sie identifiziert, solange sie nicht blockiert sind und der Schlüssel im Datenspeicher entspricht. Ich versuche also nicht, sich so sehr zu authentifizieren, als um zu identifizieren. Danke für die Eingabe!

Andere Tipps

Haftungsausschluss: Ich bin kein Sicherheitsexperte, deshalb könnte ich hier außerhalb der Basis sein, und in der tatsächlichen Umsetzung scheint es eine Reihe von Sicherheitsproblemen zu geben, die ausgebügelt werden müssten.

Könnten Sie im weitesten Sinne die Anmeldeinformationen des Client Supply für den Authentikator haben, und nach Überprüfung liefert der Authentikator den Client und den Server sowohl mit passenden Sicherheitstoken als auch dann mit passenden Sicherheitstoken und dann direkt kommunizieren?

Nur neugierig auf den Grund, warum Sie OAuth nicht implementieren und Ihren eigenen OAuth -Server ausführen möchten.

Zusätzliche Referenz: http://groups.google.com/group/37Signals-api/msg/aeeb0c8bf67a224cc

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top