¿Cómo puedo autorizar a un cliente de una manera?
https://stackoverflow.com/questions/5307350
-
24-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Digamos que tengo 2 servidores (servidor y autenticador), y tengo un cliente. Mi objetivo final aquí es poder identificar al cliente en el servidor. Mi solución era crear un sistema de token/secreto como OAuth: el cliente tiene un token y secreto. Lo pasa al servidor. El servidor lo pasa al autenticador. Si es válido, el servidor permite la solicitud.
Obviamente, esto no es óptimo solo para el número de solicitudes que se realizan. La razón por la cual el autenticador y el servidor están separados es porque esto es para un servicio descentralizado: se puede usar cualquier número de servidores y no es práctico pedirle a las bibliotecas de los clientes que se registren en cada servidor.
Entonces, la pregunta sigue siendo, ¿cuál es la mejor/correcta forma de hacer esto? El objetivo es crear un sistema descentralizado, pero aún puede hacer que los clientes se identifiquen de manera relativamente segura para el servidor.
Solución 2
Resulta que la solución era definir mi problema un poco mejor. Como solo estoy tratando de crear una forma de bloquear las aplicaciones, solo necesito almacenar su nombre y clave cuando soliciten el servidor. Luego, siempre y cuando no estén bloqueados y la clave coincida con la del almacén de datos, serán identificados. Así que no estoy tratando de autenticar tanto como identificar. ¡Gracias por el aporte!
Otros consejos
Descargo de responsabilidad: no soy un experto en seguridad, por lo que podría estar fuera de base aquí y en la implementación real parece haber una serie de problemas de seguridad que tendrían que resolverse.
En el sentido más amplio, ¿podría tener las credenciales de suministro del cliente al autenticador y luego, al verificar, el autenticador suministra al cliente y al servidor tokens de seguridad coincidentes y luego el cliente y el servidor pueden comunicarse directamente?
Solo tiene curiosidad por una razón por la que no desea implementar OAuth y ejecutar su propio servidor OAuth.
Referencia adicional: http://groups.google.com/group/37signals-api/msg/aeb0c8bf67a224cc
