我一直在为我目前正在使用的 REST API 探索 OAuth 1.0 版。
我有 3 种身份验证方案
- 这涉及 3 方,即服务提供商、消费者和用户。三足 Oauth 符合这种情况。
- 涉及 2 方,即消费者和服务提供商。这是 2 条腿的 Oauth 最适用的场景吗?如果是的话,过程是什么,因为根据我的理解,这与 HTTP 基本身份验证之间几乎没有区别。
- 我还创建了一种特殊类型的用户,无需用户授权即可始终访问当前登录用户的数据。这如何在实现 OAuth 的同时融入图片。
使用这个场景?我如何巧妙地实现 Oauth,这如何帮助我理解 3 条腿和 2 条腿的 Oauth 流程?
最佳答案
第 1 条:正确,只需使用典型的三足式 oauth 流程。
数字 2. 2 条腿的 oauth 与 http-basic 几乎相同,除了 oauth 签名可以保护您免受 MITM 攻击(但如果您在 TLS 上使用 http-basic,您将获得相同的保护)。 2-legged oauth 的过程只是使用消费者 key / secret 签署请求,这与 http basic 上的用户名/密码同义。
第 3 点。我不是 100% 清楚你在这里的意思,但这听起来类似于谷歌如何为谷歌应用域使用 2-legged oauth。在这里查看他们的文档:https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth
您是否研究过 OAuth 2.0?它仍处于草案阶段,但它对不同的场景具有更大的灵 active 。可能是需要考虑的事情。 http://oauth.net/2/
关于php - 什么是 2-legged Oauth,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9514421/