是否有一种安全的方法来实现客户端嵌入的客户端代码段

时间:2012-06-13 11:42:37

标签: web-services security oauth-2.0 oauth-provider

我公司为其他网站提供服务。我希望能够为他们提供一个简单的代码片段,以嵌入他们的网站(如小部件),它将向我正在实现的服务发送查询,接收响应并在页面中呈现结果。我想尽量减少他们的努力,只给他们最小的片段。这也是为什么我想把它全部保留在客户端。

问题在于,我想确保呼叫实际上是由我的客户进行的,而不是由从网站复制代码的任何其他人进行的。我查看了Web客户端oauth2流程,但似乎无法对客户端进行身份验证。它确实说有一种方法可以通过将回调URL与客户在我的服务中注册的URL进行比较来验证客户端。

我的问题:

  1. 有没有更好的方法?
  2. oauth2客户端方法,包括用于验证客户端的方法,是否足够安全?
  3. 如果我采用建议的实施方式,我应该注意什么?

1 个答案:

答案 0 :(得分:0)

您可以使用OAuth-2.0中定义的客户端凭据授予授权。这将允许您为每个单独的客户端分配单独的客户端令牌和客户端密钥,并且他们发送令牌以获取访问令牌并使用访问令牌来请求数据。

或者您可以一起跳过OAuth,并使用SOAP WS-Security分配给每个客户端的证书来授权Web服务。