Lo que realmente es OAuth de 2 patas

Question

He estado explorando la versión 1.0 de OAUTH para la API de descanso en la que estoy trabajando actualmente.

Tengo 3 escenarios de autenticación

1. Esto involucra a 3 Partes, el proveedor de servicios, el consumidor y el usuario.El OAUH de 3 patas coincide con este escenario.
2. 2 Las partes están involucradas, el consumidor y el proveedor de servicios.¿Es este un escenario donde la OAuth de 2 patas es más aplicable y, si es así, cuál es el proceso, ya que apenas existe una diferencia entre esta y la autenticación básica HTTP según mi comprensión?
3. También estoy creando un tipo especial de usuario que siempre puede acceder a los datos del usuario iniciados actualmente sin la autorización del usuario.¿Cómo se puede encajar esto en la imagen mientras sigue implementando outh?

   ¿Usando estos escenarios?¿Cómo puedo implementar oAuth cuidadosamente y cómo puede ayudarme a comprender los procesos de OAURH de 3 patas y de 2 patas?

Answer 1

Number 1: Correct, just use the typical 3-legged oauth flow.

Number 2. 2-legged oauth is pretty much the same as http-basic, except that the oauth signature gives you protection agains MITM attacks (but if you use http-basic over TLS than you get the same protection). The process for 2-legged oauth is just the signing of the request with the consumer key/secret which is synonymous with a username/password over http basic.

Number 3. I'm not 100% clear on what you mean here, but it sounds similar to how google uses 2-legged oauth for google apps domains. Take a look at their documentation here: https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth

Have you looked into OAuth 2.0? It's still in draft, but it has a lot more flexibility for different scenarios. May be something to consider. http://oauth.net/2/