我的网站有一个 Restful API,需要身份验证。当用户登录网站时,会执行 HTTP 基本身份验证(用户名和密码),并返回 API 中生成的访问令牌。
但最近我实现了 Steam 登录(是的,Steam 可以充当 OpenID 提供者)。一切正常,但是如果没有发送密码,我如何在 API 上验证用户身份。
【问题讨论】:
您不需要用户名和/或密码来验证使用 OpenId 提供程序(在您的情况下为 Steam)登录到您网站的用户。您需要信任这个 OpenId Provider。
这是 John Christopher Jones 在一篇博文中对 OpenId 的一个很好的定义:
OpenID 是一种身份验证策略,其中未经身份验证的用户 访问您的网站,然后通过登录来验证自己 Google、Twitter、Facebook、Steam 或其他一些 OpenID 提供商。您的 服务器(OpenID 依赖方)与 OpenID 交换密钥 Provider(Google 等)然后将用户发送到 OpenID 提供者 登录。
用户使用OpenID Provider登录后,用户被退回 向您提供一些识别他们是谁的信息,由 您与 OpenID 提供者 交换的密钥。 您可以信任他们的 此时的身份并开始将他们“登录”到您自己的系统 基于他们的身份。
下图显示了 OpenId 流程:
如您所见,验证凭据后,OpenId 提供者 (Steam) 会将用户发送回您的网站,包括 URL 中的凭据。有了这些凭证,您需要做的是:
有了这个 API 令牌,您的客户端应用程序可以将这些令牌添加到您的 RESTful API 的每个请求中,就像使用用户名和密码的经过身份验证的用户所做的一样。请注意,您的令牌生成策略不能依赖于用户名和密码。
【讨论】:
因此,基本上您要确保用户已通过身份验证。这里 Steam 为您的服务器提供了一个密钥(OpenID 服务器),而您的服务器已经为 OpenID 服务器提供了一个密钥。这与用于防伪攻击的令牌非常相似。 Steam 会向您的服务器提供用户的身份证明,并且您的服务器会记下 Steam 服务器的位置。然后允许用户查看您的服务器的内容。 Steam 肯定会使用 API,因此如果凭据很好地缓存在浏览器中,它以后就不会再请求它们了。
注意:HTTP 是无状态的,因此您必须使用会话来确保用户仍处于登录状态。
【讨论】: