我想在我公司的内部网上,在互联网上提供一个网络服务,使合作伙伴能够访问网络服务提供的信息。 目前,Web服务处于SOA中,我决定将所有内容移至RESTful Web服务,因此在面向Web的架构中。 我正在考虑一些安全问题,我应该考虑这些操作。
我不知道在我的情况下哪种解决方案更有用。 我已经查找了HMAC,OAuth信息,但我想知道是否有可能使用OAuth,而不引入第三部分。
例如,合作伙伴想要登录网站,然后继续导航,是否对我的需求有用的2脚OAuth? 是否有其他有用的安全解决方案来执行此操作?
非常感谢。
答案 0 :(得分:1)
是的,OAuth支持“双腿”案件;只需省略oauth_token参数,然后根据需要使用HMAC-SHA1(共享密钥)或RSA-SHA1(公钥)。值得注意的是,签名不包括API客户端可能发送的所有内容;它不包括PUT请求的主体或不是提交提交的POST请求的主体。
您可能只想使用HTTPS + Basic Auth进行调查,因为这样您就可以利用大量现成的软件(Apache或同等软件),而无需在客户端和服务器中引入签名库。