Quale autenticazione per l'utente tra un dispositivo IoT e le API?

3

Sto costruendo questo dispositivo IoT che dovrebbe inviare dati a un'API. Vorrei usare una chiave "hardcoded" per accedervi, ma dall'altra parte ho anche un front-end che usa JWT per accedere ai dati.

Che cosa suggerisci? Forse RPC invece?

    
posta lucavallin 30.06.2017 - 10:41
fonte

1 risposta

4

Se utilizzi già OAuth2 con JWT puoi utilizzare il tipo di asserzione del client urn:ietf:params:oauth:client-assertion-type:jwt-bearer come descritto nel link

in poche parole, ogni dispositivo ha la sua coppia di chiavi privata / pubblica, le chiavi private sono memorizzate sui dispositivi e le chiavi pubbliche sono memorizzate nel server di autenticazione. quando un dispositivo deve ottenere un token di accesso, crea una JWT con un insieme di attestazioni (ad esempio, id del dispositivo) e lo firma con la sua chiave privata. questo JWT viene inviato al server di autenticazione come jwt-bearer nella richiesta urn:ietf:params:oauth:client-assertion-type:jwt-bearer . Il server di autenticazione convalida la firma, conosce il dispositivo dal JWT e risponde con un token di accesso.

    
risposta data 30.12.2017 - 08:53
fonte

Leggi altre domande sui tag