Ho provato a capirci qualcosa su oAuth 2.0, ma sto cercando di capire il modo corretto di implementarlo per il nostro sistema, dal momento che ci sono molti approcci diversi.
Le nostre specifiche sono:
- Protezione di un'API REST.
- App e siti web personali si connettono alla nostra API.
- Gli utenti accedono ai nostri servizi senza credenziali.
- Attualmente la nostra API è privata ma potrebbe renderla pubblica in futuro.
Dalla ricerca che ho fatto, penso che dovrei usare l'autenticazione oAuth 2.0 (Two-Legged) con il tipo di concessione "Credenziali client".
Tuttavia, temo di poter fraintendere il processo, poiché sembrerebbe che con questo metodo tutto ciò che è richiesto sia l'invio attraverso ConsumerId e ConsumerSecret. Considerando che, il metodo OAuth 1.0 richiede un HashKey, ConsumerKey, Nonce ecc.
In sintesi, le mie domande sono:
- OAuth 2.0 (Two-Legged) utilizza "Credenziali client" l'approccio migliore da seguire per me.
- Il flusso di autenticazione è semplice come inviare ClientId e ClientSecret e recuperare il token al portatore.
Grazie in anticipo
Fonti che ho usato per oAuth 2.0 (Two-Legged)
OAuthBible - Stabilisce tutti i diversi approcci oAuth
Mostra come OAuth (Two-Legged) è implementato in 1.0 e 2.0
www.tomdupont.net/2011/03/oauth-1.html