通过访问令牌对休息服务进行用户授权

【问题标题】:User authorization on a rest service via an access token通过访问令牌对休息服务进行用户授权
【发布时间】:2013-04-13 13:03:06
【问题描述】:

我有一个移动应用程序(HTML 5、JavaScript)和一个 Restful 服务(Java、Jersey)来满足移动应用程序的需求。

移动应用程序登录是通过 Facebook 处理的(使用 Facebook 帐户登录)。而且目前还没有为 Restful 服务集成任何安全机制

所以我的问题是,我可以通过从 Facebook 检索到的访问令牌授权 Restful 服务上的用户到移动应用程序吗?为了进一步说明,如果有人登录了手机,他/她应该被授权向 Restful 服务提出请求。

提前致谢 阿散卡

【问题讨论】:

    标签: java facebook jersey oauth-2.0 restful-authentication


    【解决方案1】:

    如果用户已通过 Facebook 身份验证并且您随身携带访问令牌,则您可以获取用户的 Facebook 个人资料的公开信息。 您必须使用访问令牌点击此链接 - https://graph.facebook.com/me

    继续,点击链接,看看会发生什么。当您传递有效的访问令牌时,配置文件信息将作为 JSON 对象返回。 (如果您的 FB 个人资料页面是 = facebook.com/yourname,那么只需尝试 https://graph.facebook.com/yourname -> 您将能够看到返回的数据是什么样的。

    现在,使用返回的用户数据,无论用户是否注册,您都可以在数据库中保留一个条目,对于首次使用的用户,您可以注册他们。

    PS - https://graph.facebook.com/yourname 实际上返回了某人的个人资料信息!我不知道有人可以将他们的个人资料句柄保留为您的名字!!!
    PPS - 我刚刚检查了 facebook.com/yourname -> 猜猜这个手柄是谁用的!是巴西后卫罗伯托·卡洛斯!

    【讨论】:

    • 您好,非常感谢您回答我的问题,实际上,您建议的这种事情将符合我的目的。还有一件事,我正在考虑对球衣服务进行过滤并授权每个请求。你觉得这个主意怎么样???
    • 取决于您所谈论的过滤器类型以及您希望您的应用程序有多安全!您并没有真正使用 OAuth 访问某人的私人 FB 信息,这只是公开可用的信息,所以我认为您不必太担心!但是,这完全取决于您的应用程序究竟做了什么,以及您处理什么样的数据。祝你好运!
    • 嗯,我仍在考虑我需要什么级别的安全性。无论如何,非常感谢您的意见。
    猜你喜欢
    • 2021-12-11
    • 2018-06-13
    • 2018-01-15
    • 1970-01-01
    • 2019-05-27
    • 2022-10-23
    • 2016-07-16
    • 2015-08-03
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode