Che cosa è davvero oauth 2 gambe
Domanda
Ho esplorato OAuth versione 1.0 per l'API del resto sto lavorando attualmente.
Ho 3 scenari di autenticazione
- .
- Ciò coinvolge 3 parti, il fornitore di servizi, il consumatore e l'utente.L'OAUTO a 3 zampe corrisponde a questo scenario.
- 2 parti sono coinvolte, il consumatore e il fornitore di servizi.È uno scenario in cui un oauth a 2 gambe è più applicabile e se sì, qual è il processo in quanto non c'è quasi una differenza tra questa e l'autenticazione di base HTTP basata sulla mia comprensione.
- Io sto anche creando un tipo speciale di utente che può sempre accedere ai dati dell'utente attualmente connessi senza l'autorizzazione dell'utente.Come si può adattarsi all'immagine mentre è ancora implementando OAUTH.
Usando questi scenari?Come posso implementare OAuth ordinatamente e come può questo aiutarmi a capire i processi OAuth a 3 gambe e 2 gambe?
Soluzione
Number 1: Correct, just use the typical 3-legged oauth flow.
Number 2. 2-legged oauth is pretty much the same as http-basic, except that the oauth signature gives you protection agains MITM attacks (but if you use http-basic over TLS than you get the same protection). The process for 2-legged oauth is just the signing of the request with the consumer key/secret which is synonymous with a username/password over http basic.
Number 3. I'm not 100% clear on what you mean here, but it sounds similar to how google uses 2-legged oauth for google apps domains. Take a look at their documentation here: https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth
Have you looked into OAuth 2.0? It's still in draft, but it has a lot more flexibility for different scenarios. May be something to consider. http://oauth.net/2/