Autenticazione API senza server Oauth2

Naviga le tue risposte
2

Ho un'API che richiede l'autenticazione dell'utente. È lo stesso modo in cui Google esegue l'autenticazione quando si utilizza la propria API per accedere ai dati dell'utente. Non voglio davvero installare un server oauth2 e voglio che l'utente effettui l'accesso tramite provider OpenId (Google, Facebook, ...).

Qualcuno sa se questo è possibile e sicuro?

  1. Applicazione client di accesso utente che utilizza la mia API
  2. Il client richiede all'utente di accedere
  3. L'utente viene reindirizzato alla pagina di accesso al server API
  4. L'utente viene reindirizzato al provider OpenId (scelgono) e autentica
  5. Il provider OpenId invia al server api un token (TokenA)
  6. Il server API invia un nuovo token (TokenB) al client che è collegato con il token (TokenA) e il provider (facebook, google, ...) nel database
  7. Quando il client richiede i dati dell'utente, devono inviare il nuovo token (TokenB) al server per la verifica

Se qualcuno ha un modo migliore per farlo, vorrei amare per sentirlo !!!

Grazie

    
posta rand0mb1ts 20.06.2013 - 04:46
fonte

1 risposta

2

Per essere sicuri che siamo sullo stesso livello: 'oAuth' non è 'OpenID' . 'OpenID' riguarda l'autenticazione (a dimostrazione di chi sei), mentre 'OAuth' riguarda l'autorizzazione (a concedere l'accesso alle cose senza dover affrontare l'autenticazione originale). È "OAuth" che può essere utilizzato nei siti partner esterni per consentire l'accesso ai dati protetti senza che debbano ripetere l'autenticazione di un utente.

Per rispondere alla tua domanda: mi chiedo che tu voglia passare attraverso il fastidio di trovare alternative quando esistono molte librerie semplici che ti permettono di implementare oauth in modo pulito e (più importante ) modo ufficiale. Invece di pensare che devi "configurare il tuo server oauth2" , potresti dare un'occhiata al link perché non c'è motivo di farlo per gestire oauth per l'autorizzazione come parte dell'autenticazione utente della tua API ... basta usare il tuo dominio come provider OpenID.

    
risposta data 29.07.2013 - 03:20
fonte

Leggi altre domande sui tag

Modi per offuscare le abitudini di navigazione sul Web [duplicate] I messaggi molto brevi sono protetti utilizzando la crittografia a chiave pubblica? [duplicare]