Come posso autorizzare un client in modo OAuth-esque?

StackOverflow https://stackoverflow.com/questions/5307350

  •  24-10-2019
  •  | 
  •  

Domanda

dire Let Ho 2 server (server e di autenticazione), e ho un cliente. Il mio fine obiettivo è quello di essere in grado di identificare il client sul server. La mia soluzione era quella di venire con un sistema a gettoni / segreta come OAuth: client dispone di un token e segreto. Essa trasmette al server. Server passa a autenticatore. Se validi, server permette la richiesta.

Ovviamente, questo è non ottimale solo per il numero di richieste in corso. Il motivo autenticatore e il server sono separati è perché questo è per un decentrata Clienti-- qualsiasi numero di server possono essere utilizzati, ed è poco pratico di chiedere librerie client per registrare su ciascun server.

Quindi, la questione rimane, qual è la migliore / corretto modo di fare questo? L'obiettivo è quello di creare un sistema che è decentralizzato, ma può ancora avere i clienti si identificano in un modo relativamente sicuro al server.

È stato utile?

Soluzione 2

Si scopre che la soluzione era quella di definire il mio problema un po 'meglio. Come sto solo cercando di creare un modo per applicazioni di blocco, ho solo bisogno di memorizzare il loro nome e la chiave quando chiedono il server. Quindi, fino a quando non sono bloccate e la chiave corrisponde a quello del datastore, saranno identificati. Quindi io non sto cercando di autenticarsi così tanto come identificare. Grazie per l'ingresso!

Altri suggerimenti

Disclaimer: io non sono un esperto di sicurezza in modo da poter essere off-base qui e nella concreta attuazione sembra che ci sia un certo numero di problemi di sicurezza che avrebbe bisogno di essere risolti.

Nel senso più ampio, si potrebbe avere le credenziali di alimentazione client al autenticatore e poi al momento della verifica delle forniture autenticatore il client e il server sia con i token di protezione di corrispondenza e poi il client e il server possono comunicare direttamente?

semplicemente curiosi di scoprire C'è un motivo non si desidera implementare OAuth e gestire il proprio server di OAuth.

di riferimento aggiuntive: http://groups.google.com/group/37signals -API / msg / aeb0c8bf67a224cc

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top