OAuth2.0服务器到服务器的身份验证

时间:2013-07-18 14:40:37

标签: google-app-engine authentication web-applications oauth-2.0 google-oauth

我有一个GAE应用程序&服务。要对用户进行身份验证相对容易,但是,我并不确定如何对要使用我的服务的服务器进行身份验证。具体来说,我有另一台服务器将访问服务。我正在使用Google登录进行身份验证(OAuth 2.0)我有这样的想法:

  1. 第一次,我会为服务器创建一个Google帐户,并以某种方式为服务器手动检索令牌,存储并在每次需要访问我的GAE服务时刷新它
  2. 进行某种私钥/公钥身份验证。我会为请求服务的服务器创建一个私钥,并将公钥存储在GAE应用程序中。不确定是否存在这样的事情。

    3. 任何人都有任何想法如何解决这个问题?感谢

1 个答案:

答案 0 :(得分:0)

我会调查Client Credentials Grant part of the OAuth 2 spec

这就是twitter如何进行仅限应用程序验证(例如https://dev.twitter.com/docs/auth/application-only-auth

那就是说,我个人认为有更好的方法来进行服务器到服务器的身份验证,然后是OAuth2提供的身份验证(and I am not alone);我认为你的观点2是更可靠的替代方案但是安全性确实难以正确实施!我通常建议不要这样做(如果可能的话,我会自己避免)。

所以,如果你找到可靠的实现这个模式的东西,那就好了。否则,请坚持使用可靠的OAuth2库。

相关问题
最新问题