我正处于 REST API 规划(特别是安全性)的早期阶段,移动应用程序通过该 API 进行身份验证,然后发送要存储在 Joomla 网站/数据库中(以及从中检索)的数据。它基本上是应用程序到应用程序的身份验证。
我计划将该 API 用于自己的内部使用,这意味着“让第三方开发人员/API 用户轻松使用”这一原本重要的方面并不那么重要。我主要担心的是,我当然希望防止通过此类 API 调用注入(inject)非法信息。在某些阶段,外部审计师也可能会问我如何正确涵盖这个安全方面 - 因此我最好从一开始就做好准备......;)
SSL 计划用于客户端/服务器通信,API 还将使用用户名/密码进行身份验证,但是有人对使用 OAuth 作为安全层有意见(也许有经验)吗?我并不是说使用用户的社交媒体密码进行 Joomla 登录,我的意思是在 Joomla 组件端(即 Joomla 端 REST API)实现 oAuth。
谢谢
最佳答案
这正是我们在我们组织所做的事情。使用 Joomla 遵循一些现有的 OAuth(我假设 OAuth 2)实现会很好,但我认为除了普通的 php 实现之外它不存在。我们使用了这个 active project但我们从头开始构建了自己的。该项目考虑了所有授予,我怀疑如果您像我们一样进行移动应用程序身份验证,您将坚持资源所有者密码凭据授予。所以这实际上取决于你在做什么。
所以第一部分是通过我们的移动应用程序使用 Joomla 进行身份验证。这是post在那开始的时候。我们遵循规范 RF6749遵循所需的约定并生成正确的不记名 token 等。
然后,使用 REST API 完成移动应用程序所需的操作就变得很简单。
我过于简化了它(特别是因为我建议仔细阅读 RFC),但是一旦您知道如何使用 Joomla 进行身份验证,您的航行就会顺利。国际海事组织。
关于api - Joomla 安全 REST API OAuth,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17863259/