你如何在Perl中编写OAuth2服务器?

时间:2013-05-10 20:13:54

标签: perl oauth-2.0

我试图围绕OAuth2和Perl(即Net :: OAuth2) - 特别是为数据库设置RESTful API,以及使用它的应用程序。

Perl Oauth2 package带我去了Net :: OAuth2。

尽可能接近,我需要做几件事(如果我在某处的杂草中,请纠正我):

  1. 服务器端:构建REST服务器(目前正在玩这个游戏),它与数据库进行通信。
  2. 服务器端:构建身份验证/授权服务器(??)
  3. 客户端应用程序:使用WWW :: Mechanize(或某些此类)与REST服务器通信

    4. 在我的脑海中,这是它的工作原理:

    1. 客户端应用程序有一个API密钥(在服务器上注册(REST服务器?Auth服务器?),并“烘焙”到客户端)
    2. 用户在服务器上的数据库中的表中有一个条目(用户名和密码)
    3. 用户启动客户端应用程序,并尝试访问受保护资源(例如更新行)(例如,再次通过在客户端中选择“执行此操作”菜单选项;客户端将其转换为REST API URI,例如http://the.rest.server/api/thisthing
    4. 服务器将客户端重定向到(服务器的)身份验证/授权位
    5. 服务器,客户端和用户进行魔术OAuth舞蹈以验证用户身份
    6. 服务器,客户端和用户进行另一次神奇的OAuth舞蹈,以确保用户有权查看该资源URI
    7. 如果一切顺利,服务器会将客户端重新定向到最初请求的资源URI(需要任何auth parms)。

      8. 这是对该过程的合理评估吗?

      如果是这样,将“身份验证/授权”作为REST服务器的一部分或作为完全独立的服务器更有意义吗? (在相同的硬件上)。

      Net::OAuth2::Profile::WebServer很好地解释了在客户端应用程序端发生的事情。

      http://cpansearch.perl.org/src/MARKOV/Net-OAuth2-0.55/t/中的测试(除非我真的缺少某些东西)是关于使用Net :: OAuth2 webserver配置文件,它将(再次)成为“客户端应用程序”。

      还有其他编写客户端的示例 - 连接到现有的OAuth2服务器,例如Google API的东西 - 但我找不到编写服务器的示例....(我非常愿意RTFM,如果我能找到 FM ...指针赞赏!)

1 个答案:

答案 0 :(得分:4)

一般的想法是让中央auth服务器处理凭证+令牌生成+策略处理(policy =>是应用程序授权的应用程序)

首先让我们谈谈 OAuth服务器 i)服务器负责登录页面,用户可以在其中输入他的凭证 ii)验证凭证,如果正确,则此服务器然后检查哪个客户端应用程序进行了呼叫并验证“是应用程序是否由用户授权”。 - 这里有范围的概念 iii)为应用程序生成访问令牌/授权代码 iv)当客户端使用访问令牌命中API时,API应在内部将令牌传递给此服务器。这是服务器验证令牌内容的工作。

现在, API
i)API应接受来自客户端应用程序的令牌,将其传递给服务器 - 从服务器获取唯一的客户ID,并将数据返回给该客户的客户端。

对于第三方应用
i)您需要进行注册过程。客户需要拥有客户端ID和秘密。 Google允许您在console注册 ii)应该有一个范围映射到每个唯一的API。例如,当您制作Google OAuth应用时,您需要为范围注册您的应用 - 范围为G +,Picasa,Google驱动器等。
iii)访问令牌对范围是唯一的,并映射到用户授予您的应用程序的权限。如果用户客户端应用程序仅选择G +范围,并且被用户授予访问权限,则应用程序只能将该令牌用于G +端点。

有关如何实施OAuth服务器的更详细答案,请访问:How would an efficient OAuth2.0 server / provider work?

相关问题
最新问题