我有一个GAE应用程序&服务。要对用户进行身份验证相对容易,但是,我并不确定如何对要使用我的服务的服务器进行身份验证。具体来说,我有另一台服务器将访问服务。我正在使用Google登录进行身份验证(OAuth 2.0)我有这样的想法:
任何人都有任何想法如何解决这个问题?感谢
答案 0 :(得分:0)
我会调查Client Credentials Grant part of the OAuth 2 spec
这就是twitter如何进行仅限应用程序验证(例如https://dev.twitter.com/docs/auth/application-only-auth)
那就是说,我个人认为有更好的方法来进行服务器到服务器的身份验证,然后是OAuth2提供的身份验证(and I am not alone);我认为你的观点2是更可靠的替代方案但是安全性确实难以正确实施!我通常建议不要这样做(如果可能的话,我会自己避免)。
所以,如果你找到可靠的实现这个模式的东西,那就好了。否则,请坚持使用可靠的OAuth2库。