Qu'est-ce qui est vraiment oauth à 2 pattes
Question
J'ai exploré la version 1.0 OAuth pour l'API de repos, je travaille actuellement sur.
J'ai 3 scénarios d'authentification
- Cela implique 3 parties, le fournisseur de services, le consommateur et l'utilisateur.L'OAuth à 3 pattes correspond à ce scénario.
- 2 parties sont impliquées, le consommateur et le fournisseur de services.S'agit-il d'un scénario où Oauth à 2 pattes est le plus applicable et si oui, quel est le processus car il n'ya guère une différence entre cette authentification de base et HTTP basée sur ma compréhension.
- Je crée également un type d'utilisateur spécial pouvant toujours accéder aux données de l'utilisateur actuellement connectées sans l'autorisation de l'utilisateur.Comment cela peut-il s'intégrer dans l'image tout en mettant en œuvre Oauth.
Utiliser ces scénarios?Comment puis-je mettre en œuvre oauth oauth et comment cela peut-il m'aider à comprendre les processus OAuth à 3 pattes et à 2 pattes?
La solution
Number 1: Correct, just use the typical 3-legged oauth flow.
Number 2. 2-legged oauth is pretty much the same as http-basic, except that the oauth signature gives you protection agains MITM attacks (but if you use http-basic over TLS than you get the same protection). The process for 2-legged oauth is just the signing of the request with the consumer key/secret which is synonymous with a username/password over http basic.
Number 3. I'm not 100% clear on what you mean here, but it sounds similar to how google uses 2-legged oauth for google apps domains. Take a look at their documentation here: https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth
Have you looked into OAuth 2.0? It's still in draft, but it has a lot more flexibility for different scenarios. May be something to consider. http://oauth.net/2/