Недостоверная аутентификация аутентификации api с oauth2

Ответ 1

Если я правильно понимаю, что вам нужно, это похоже на OAuth таким образом, что вы делаете то же самое, минуя предоставление стороннему приложению доступа к пользовательским ресурсам.

В OAuth существует центральная система, которая управляет аутентификацией и авторизацией, проверяя учетные данные пользователя и учетные данные пользователя и выдавая маркеры авторизации. Существует несколько конечных точек, которые будут принимать эти токены авторизации.

Знаки - это в основном зашифрованные строки, содержащие информацию об учетных данных пользователя и другую информацию, которая может понадобиться вашему приложению.

То, что вам нужно (я считаю), является аналогичной конечной точкой аутентификации, что клиент нажимает свои учетные данные и получает токен.

Итак,
i) Создайте регистрационную форму/консоль, где клиент может зарегистрироваться и получить свои учетные данные. Посмотрите this.
ii) Определите конечную точку HTTP, в которой пользователь меняет свои учетные данные для токена доступа + токен обновления.
iii) Клиент может попасть в конечную точку ресурса с помощью токенов доступа, чтобы сделать аутентифицированные вызовы на любую из ваших конечных точек.
iv) На задней панели вам понадобится общая служба, которая проверяет токены и извлекает информацию из нее.

PS - Это всего лишь минимальная система, было бы много соображений безопасности, например, что, если какое-то несанкционированное приложение получит доступ к некоторым токенам доступа к клиенту.
Вы можете найти много информации о CSRF-атаках, нонах, временных метоках и других методах смягчения проблем безопасности.

Ответ 2

В oAuth 2.0 существует несколько типов типов грантов. Тип гранта - это всего лишь способ обмена некоторыми учетными данными для токена доступа. Обычно oAuth относится к стороннему использованию с помощью гранта для кода авторизации. Это означает перенаправление пользователя на веб-сайт владельца ресурса для аутентификации, который вернет обратно код авторизации.

Это явно не имеет смысла для использования 1-й стороны, потому что вы являетесь владельцем ресурса. oAuth 2.0 рассмотрел это и включил для этой цели грант учетных данных для владельца ресурса. В этом случае вы можете обменивать имя пользователя и пароль для токена доступа на первом уровне.

Подробнее см. http://tools.ietf.org/html/rfc6749#section-4.3.

Ответ 3

Просто, чтобы понять первоначальный вопрос:

OAuth2 требует, по крайней мере, клиента и сервера

OP задавалась вопросом, как защитить API REST, и почему все говорят о сторонних поставщиках аутентификации (Google, Facebook,...)

Здесь есть две разные потребности:

1 - Возможность защитить персональный API (ourdomain.com)

Client             Server
Consumers  <---->  Your API

2 - Возможность использования общедоступного API (например, получение списка контактов пользователя Google)

Client             Server
You        <---->  Google APIs

OP действительно нуждается в первом: реализовать сервер OAuth2 перед своим собственным API.
Существуют многие существующие реализации для всех языков/фреймворков в Github

Наконец, вот одно хорошее техническое описание Oauth2, и я бесстыдно беру одну из своих схем здесь:

Нет, я не работаю в Google, я просто беру Google в качестве публичного примера поставщика API.