我一直在探索我目前正在开发的REST API的OAuth版本1.0。
我有3个身份验证方案
使用这种情况?我怎样才能整洁地实现Oauth,这怎么能帮助我理解3腿和2腿的Oauth过程?
答案 0 :(得分:1)
1号:正确,只需使用典型的3腿oauth流量。
数字2.双腿oauth与http-basic几乎相同,只是oauth签名可以再次为你提供MITM攻击保护(但是如果你使用http-basic而不是TLS,那么你获得同样的保护)。两条腿oauth的过程只是用消费者密钥/秘密签署请求,这与http基本上的用户名/密码同义。
第3号。我不是100%清楚你的意思,但这听起来类似于谷歌使用谷歌应用程序域的2腿oauth。在这里查看他们的文档:https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth
您是否考虑过OAuth 2.0?它仍处于草案阶段,但它对于不同的场景具有更大的灵活性。可能需要考虑的事情。 http://oauth.net/2/