OAuth è una buona scelta qui?

5

Stiamo cercando di aggiungere l'autenticazione a una serie di API che stiamo per sviluppare. La soluzione è completamente fluida come al momento, ma la premessa di base è che vi è un livello API con cui il cliente si interfaccia e diverse API dietro cui questo livello iniziale delega.

Una parte dello schema proposto contiene un singolo segnale sul server che consente agli utenti di eseguire l'autenticazione una sola volta e utilizzare il token generato per accedere a tutte le risorse disponibili.

Più leggo in questo, più bizzarra è la mia comprensione di come oAuth si adatta a questo modello. Da quello che posso vedere, oAuth supporta semplicemente l'autenticazione di applicazioni client a cui l'utente desidera assegnare alcune autorizzazioni.

Il nostro obiettivo è quello di creare una semplice funzionalità di accesso, ma in modalità Single Sign On. OAuth è adatto per questo o esiste una soluzione più appropriata per delegare la fiducia di autenticazione a un singolo server per più applicazioni?

    
posta christopher 20.08.2016 - 10:39
fonte

1 risposta

1

OAuth è un protocollo di autorizzazione, non di autenticazione.

Ad un certo punto del processo un utente deve autenticarsi sul server di autorizzazione per provare che è autorizzata ad autorizzare l'accesso alla risorsa protetta per la tua app.

Un servizio di autenticazione può essere costruito su oauth2 perché la risorsa protetta può essere informazioni sull'utente che lo identifica in modo univoco, ma per farlo è necessaria una buona conoscenza di OAuth e perché non è adatto all'autenticazione fuori dalla scatola.

Fortunatamente, i ragazzi di OpenID Connect hanno già fatto il duro lavoro per te.

Supponendo che quando hai detto OAuth in realtà intendevi OpenID, direi di sì, usarlo per uno schema SSO è un'ottima idea: funziona bene, è ben collaudato e molto scalabile.

È anche abbastanza facile integrarlo in quasi tutto.

    
risposta data 27.08.2016 - 00:08
fonte

Leggi altre domande sui tag