Comment puis-je autoriser un client d'une manière OAuth-esque?

StackOverflow https://stackoverflow.com/questions/5307350

  •  24-10-2019
  •  | 
  •  

Question

Le mot Let j'ai 2 serveurs (serveur et authentifiant), et moi avons un client. Mon but final est ici pour être en mesure d'identifier le client sur le serveur. Ma solution était de trouver un système de jetons / secret comme OAuth: client dispose d'un jeton et secret. Il transmet au serveur. Serveur, il passe à authentificateur. Si elle est valide, le serveur permet à la demande.

De toute évidence, cela est non optimal juste pour le nombre de demandes fait. L'authentificateur raison et le serveur sont séparés est parce que c'est une décentralisation Clients-- un certain nombre de serveurs peuvent être utilisés, et il est impossible de demander à des bibliothèques clientes pour vous inscrire sur chaque serveur.

Ainsi, les restes de question, quelle est la meilleure / bonne façon de le faire? L'objectif est de créer un système qui est décentralisé, mais peut encore avoir des clients eux-mêmes identifier de façon relativement sécurisée au serveur.

Était-ce utile?

La solution 2

Turns la solution a été de définir mon problème un peu mieux. Comme j'essaie seulement de créer un moyen de bloquer des applications, je ne dois stocker leur nom et la clé lorsqu'ils demandent le serveur. Ensuite, tant qu'ils ne sont pas bloqués et la clé correspond à celle du datastore, ils seront identifiés. Donc, je ne cherche pas à authentifier tant que d'identifier. Merci pour l'entrée!

Autres conseils

Disclaimer: Je ne suis pas un expert en sécurité pour que je puisse être ici et dans la mise en œuvre réelle hors de la base, il semble être un certain nombre de problèmes de sécurité qui devront être aplanies.

Dans le sens le plus large, pourriez-vous avoir les informations d'identification d'approvisionnement des clients à l'authentificateur, puis lors de la vérification des fournitures authentifiant le client et le serveur les deux avec des jetons de sécurité correspondant, puis le client et le serveur peuvent communiquer directement?

Juste curieux il y a une raison pour laquelle vous ne voulez pas mettre en œuvre OAuth et exécutez votre propre serveur OAuth.

Référence supplémentaire: http://groups.google.com/group/37signals -API / msg / aeb0c8bf67a224cc

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top