鉴于我将创建一个OAUTH2身份验证服务器。 鉴于我将拥有单独的资源服务器,因此公开REST API。
身份验证服务器和API服务器之间的最佳通信实践是什么?
要解释OAUTH2服务器将是一个代理,用于验证用户并将请求转发给不是第三方的不同API服务器,但是在OAUTH2代理的引擎盖下,依靠它来了解请求代理的用户(用户)给出命令\查询。
最简单的是,身份验证服务器将在安全连接下转发用户ID(在每个API服务器上也存储ACL规则),并且该访问将被限制为从验证服务器转发到资源API服务器的请求。 在这种情况下,auth服务器会转发用户ID,但在中间攻击中这似乎很容易(API服务器上的altought防火墙将配置为仅接受来自身份验证服务器的请求)。 另一个问题是OAUTH代理的泄密,自动授予来自它的任何请求。
是否有现成的解决方案和模式来处理这种情况? 谢谢!
答案 0 :(得分:1)
从CloudFoundry检查用户帐户和身份验证服务(UAA)。也许会帮到你。它也可作为独立的OAuth2服务器使用。 API Documentation,GitHub