使用 http auth 和第三方 OAuth 提供程序保护 REST API

【问题标题】:Securing REST API with http auth AND third party OAuth provider使用 http auth 和第三方 OAuth 提供程序保护 REST API
【发布时间】:2012-01-03 03:02:45
【问题描述】:

目前我有一个 web 应用程序,它提供用户名/密码登录或通过 Twitter OAuth 登录。我想为此应用程序添加一个 REST API。是否有可能(并且有意义)通过 Twitter 为 REST API 用户提供 OAuth 登录? 受到this post 的启发,我想到了以下身份验证流程。用户可以通过 HTTP 身份验证和/或 OAuth 登录:

我为这个问题创建了一个示例工作流:http://i.stack.imgur.com/EM446.png

【问题讨论】:

    标签: api oauth openid twitter-oauth restful-authentication


    【解决方案1】:

    正如您在提到的关于身份验证流程的帖子中提到的,您应该查看 OpenID,而不是 OAuth。

    【讨论】:

    • 1.我在用户的 Twitter 帐户上发布信息。所以我需要OAuth。 2.我分析了很多API,没有一个使用OpenID。我承认对于他们中的很多人来说,OpenID 就足够了。
    • 那么我对你的要求感到困惑。用于允许用户使用其 Twitter 帐户登录您的网站的协议是 OpenID。用于允许您的应用程序将数据发布到用户的 Twitter 帐户的协议是 OAuth。如果你想同时做(登录和发帖),那么你需要同时使用。
    • 不,那是错误的。 ;-) OAuth 隐式包含一种对用户进行身份验证的方法,以便授权消费应用程序访问用户的数据。 OpenID 只支持授权。顺便说一下,Twitter API 不支持 OpenID。嗯,我将实现并制作原型并查看它是否有效。
    猜你喜欢
    • 2014-09-23
    • 1970-01-01
    • 2011-06-02
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-06-07
    • 1970-01-01
    • 2014-09-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode