Approccio corretto per proteggere il servizio di back-end - oAuth

1

Sto sviluppando un servizio OAUTH (lo sto pensando. Potrebbe non essere esattamente lo stesso.) per aprire una delle nostre API back-end a un commerciante.

in pratica, gli utenti possono acquistare beni dal sito E-Commerce di Merchant e possono utilizzare il nostro gateway di pagamento fai il pagamento.

abbiamo un sistema di registrazione per commercianti e utenti e stiamo pubblicando un ID (alfanumerico disponibile al pubblico) per loro.

Il mio piano è per il servizio OAUTH.

  1. Il primo commerciante invia l'ID sopra menzionato al nostro server OAUTH.
  2. Quindi il server OAUTH invia token, aggiorna il token e il tempo di scadenza come risposta.
  3. Quindi il commerciante invia quel token con altre informazioni richieste come l'importo nuovamente al server OAUTH per aprire l'interfaccia web del gateway di pagamento.
  4. l'utente usa quell'interfaccia per fornire il proprio ID e pin per confermare le transazioni.
  5. Quindi da un server OAUTH chiamiamo il nostro servizio di back-end RESTful per effettuare la transazione effettiva (l'account commerciante riceve denaro e l'addebito sul conto del cliente)
  6. Dopo il completamento della transazione reindirizziamo l'utente al sito web del commerciante.

* Tutte le comunicazioni avvengono tramite il canale HTTPS.

Sono in dubbio per

  1. Se il mio approccio è corretto per garantire il flusso sopra indicato.
  2. Ho davvero bisogno di un token qui o solo l'ID è sufficiente? Se ho usato solo ID, mi mancherai qui.
  3. Se è così basta ID per ottenere un token?
  4. C'è qualche possibilità che qualcuno possa imbrogliare il processo.

Ti aspettiamo consigli su questo.

    
posta abc123 30.01.2015 - 07:46
fonte

0 risposte

Leggi altre domande sui tag