O que realmente é oauth de duas pernas

Question

Eu tenho explorado o AAuth versão 1.0 para a API de resto que estou atualmente trabalhando.

Eu tenho 3 cenários de autenticação

.
1. Isso envolve 3 partes, o prestador de serviços, o consumidor e o usuário.O OAuth de 3 pernas corresponde a esse cenário.
2. 2 partes estão envolvidas, o consumidor e o prestador de serviços.Este é um cenário onde a oauth de 2 pernas é mais aplicável e, em caso afirmativo, qual é o processo, pois não há uma diferença entre esta e autenticação básica HTTP com base no meu entendimento.
3. Eu também estou criando um tipo especial de usuário que sempre pode acessar os dados do usuário atualmente registrados sem a autorização do usuário.Como isso pode se encaixar na imagem enquanto ainda implementa oauth.

   Usando esses cenários?Como posso implementar oauth ordenadamente e como isso pode me ajudar a entender os processos OAuth de 3 pernas e de 2 patas?

Answer 1

Number 1: Correct, just use the typical 3-legged oauth flow.

Number 2. 2-legged oauth is pretty much the same as http-basic, except that the oauth signature gives you protection agains MITM attacks (but if you use http-basic over TLS than you get the same protection). The process for 2-legged oauth is just the signing of the request with the consumer key/secret which is synonymous with a username/password over http basic.

Number 3. I'm not 100% clear on what you mean here, but it sounds similar to how google uses 2-legged oauth for google apps domains. Take a look at their documentation here: https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth

Have you looked into OAuth 2.0? It's still in draft, but it has a lot more flexibility for different scenarios. May be something to consider. http://oauth.net/2/