Desidero implementare un nuovo API basato su REST sulla nostra infrastruttura e OAuth sembra essere la strada da percorrere.OAuth a due vie - ricerca di informazioni
Per la nostra applicazione, non ci sarà prima essere solo server-to-server di accesso, che sarà completamente senza restrizione. Credo che questo sia chiamato l'autorizzazione a due gambe.
Più tardi, vorremmo consentire l'API per essere consumato dal browser, che si trasformerà la nostra autorizzazione in tre zampe.
C'è un buon punto di partenza per l'implementazione di questo? Come possiamo autorizzare completamente un server e in futuro aggiungere un'autorizzazione limitata per utente?
Le specifiche OAuth non sono molto utili in questi scenari, ma credo che questo implichi la necessità di creare una sessione senza scadenza per l'accesso da server a server e in seguito aggiungere sessioni normali con accesso limitato per l'utente. solo API.
Spero di trovare punti di partenza per ulteriori informazioni, fatemelo sapere!
OAuth è per me? Sto solo cercando un sistema di richiesta autenticato, e solo il consumatore e il fornitore di servizi esistono in questo scenario. L'utente finale non entra per giocare!
Hi Larry, Una sessione mai scadenza è pratica comune, e non significa che perdiamo la sessione quando il server viene riavviato. Le sessioni vengono archiviate in più database e istanze memcached. Con sessione, intendo un "token persistente". Facebook usa questo per esempio. – Evert
Infine, il nostro sistema attuale utilizza un 'API KEY', che non è sicuro perché deve essere inviato in chiaro sul filo (HMAC-MD5 basato su alcuni variabels sarebbe meglio), e la chiave API non dovrebbe in nessun caso finire su un computer degli utenti finali. Questo è il motivo per cui sono andato a Oauth. – Evert