Что на самом деле 2-летнее ОАУТ
Вопрос
Я изучал OAUTH версии 1.0 для API для отдыха, над которым я сейчас работаю.
У меня есть 3 сценария аутентификации
- Это включает в себя 3 вечеринки, поставщика услуг, потребителя и пользователю.3-носовый ОАУТ соответствует этому сценарию.
- 2 Стороны участвуют, потребитель и поставщик услуг.Это сценарий, где 2-летний OAuth является наиболее применимым, и, если да, то, каков процесс, поскольку вряд ли существует разница между этой базовой аутентификацией HTTP, основанной на моем понимании.
- Я также создаю специальный тип пользователя, который всегда может получить доступ к в настоящее время вошедшим в систему в данных пользователя без авторизации пользователя.Как это может вписаться на картинку, пока все еще реализует ОАУТ.
Использование этих сценариев?Как я могу аккуратно реализовать ОАУТ, и как это может помочь мне понять 3-носовые и двуногие процессы OAuth?
Решение
Number 1: Correct, just use the typical 3-legged oauth flow.
Number 2. 2-legged oauth is pretty much the same as http-basic, except that the oauth signature gives you protection agains MITM attacks (but if you use http-basic over TLS than you get the same protection). The process for 2-legged oauth is just the signing of the request with the consumer key/secret which is synonymous with a username/password over http basic.
Number 3. I'm not 100% clear on what you mean here, but it sounds similar to how google uses 2-legged oauth for google apps domains. Take a look at their documentation here: https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth
Have you looked into OAuth 2.0? It's still in draft, but it has a lot more flexibility for different scenarios. May be something to consider. http://oauth.net/2/