Oauth의 토큰과 세션 중

Question

다른 순간에 나는 Oauth에 관한 기사를 읽었습니다. 특히 일련의 요청 중에 고객과 서비스 제공 업체간에 교환되는 토큰을 설명했습니다.

이 기사는 또한 OAUTH가 권한 부여 계층으로서 RESTFUL API에서 상당한 인기를 얻는다고 언급했다. 내가 이해했듯이, 휴식은 완전히 무국적으로 유지되어야합니다.

질문 :이 반복 된 토큰 교환 Torpedo Rest의 "무국적"원칙이 아닌가? IMHO 토큰은 일종의 세션 ID로 볼 수 있습니까?

Answer 1

OAUTH 토큰은 세션 식별자이며, 상호 작용은 요청이 특정 순서로 수행되어야하므로 OAUTH 토큰 협상 프로토콜의 요청간에 무국적이지 않습니다. 그들은 발행되었습니다. 그렇습니다. Oauth는 편안한 아키텍처의 엄격한 원칙을 위반합니다.

불행히도 현실 세계가 있습니다^TM Oauth가 상당히 잘하는 암호를 요청하지 않고 응용 프로그램이 개인을 대신하여 인증 할 수있는 것과 같은 작업을 수행 해야하는 곳과 경쟁합니다. 이런 종류의 상태없이 유사하게 안전한 인증 체계를 구현하는 것은 불가능합니다. 실제로 Oauth (1.0a)가 요구하는 변경 사항 중 하나는 추가하는 것이 었습니다. 더 보안 위험을 완화하기 위해 토큰 협상 프로토콜에 진술하십시오.

그렇다면 어뢰의 무국적 원칙은? 예. 그게 중요합니까? 아이보리 타워에 살지 않는 한 :-)

Answer 2

인증은 웹 상호 작용을 처리 할 때 어떻게 든 추적 해야하는 상태입니다. 궁극적으로 앱이 편안한 경우 서버는 각 사용자 "인증 상태"를 추적 할 수 있어야하며 불행히도 HTTP의 기본 무국적 특성과 위의 추가 전송/기술 (예 : 휴식)에 대한 어떤 종류의 우회가 필요합니다. 그것.

따라서 모든 종류의 인증 된 앱을 개발하기 위해서는 국가의 원리가 어딘가에 신발 뿔을 뿌려야하며, 그렇다면 휴식 위에 오아우스가되면 그게 어떻게되어야합니다!