Sto lavorando a un progetto di sicurezza specifico. Quando lo leggi, sembra una forma di OATH ma non sono sicuro di quale tipo.
Lo schema è il seguente:
- Il client esegue l'autenticazione tramite un portale Web (server di autorizzazione) con la password del nome utente.
- Dopo un'autenticazione corretta, l'utente viene reindirizzato al proprietario della risorsa, la richiesta contiene un token.
- Il proprietario della risorsa convalida il token con il server di autorizzazione.
- Il server delle autorizzazioni indica chi è l'utente corrispondente.
Ora la mia domanda è: come si chiama questo schema?
+--------------+ +---------------+
| | | |
| | 1. sends user & pass | authorization|
| client | +----------------------------> | server |
| | | |
| | | |
| | | |
| | | |
+--------------+ +----^------+---+
| |
| |
3. validates if | | 2. if correct, credentials
256 bit string is | | forwarded as 256 bit string.
valid. | |
| |
+----+------v---+
| |
| resource |
| owner |
| |
| |
| |
| |
+---------------+
UPDATE:
Spero che il mio caso d'uso chiarisca un po 'di più. Posso apportare solo modifiche minori al proprietario della risorsa (per una serie di problemi non correlati alla tecnologia) e il tipo di autenticazione che desidero (a due fattori) non è un cambiamento minore.
Quindi voglio che il server di autenticazione reindirizzi (dopo un'autorizzazione riuscita) il client al proprietario della risorsa (stringa [512 bit] POSTed a link .
Ora il proprietario della risorsa chiede al server di autorizzazione: questo token è valido e per quale utente? Restituirà l'id utente è valido.
- Il token scade dopo 5 secondi.
- Il token è solo un token, non c'è nulla di crittografato all'interno del token.