我正在尝试将Google登录机制与OpenID Connect集成到我的网络应用程序中。该应用程序有一个Rails前端,用于呈现网页,它连接到用Erlang编写的后端。我将使用Google登录按钮,但我想在后端集中身份验证,以便我可以使用Rails前端或通过cURL对用户进行身份验证并保护后端API。
因此,我发现此库https://github.com/ianbarber/Erlang-GoogleApis-Example/似乎对调用Google API很有用,如果可以进行身份验证,则获取用户的数据,将其存储到数据库中,将响应发送到Rails,那么前端将呈现网站。
我的问题如下:
为了保护Backend API,我是否应仅允许在Google提供的Access_Token或ID_Token标题中包含的POST请求?或者这仍然不够?
还有另外两台服务器需要执行某些POST操作。只有他们应该能够做这些要求。如何为他们建立不同级别的授权?因为用户不应该执行这些API调用。
我看到还有其他方法,比如生成API_KEY和API_SECRET_KEY,但我的老板不希望我使用这种方法,所以也许使用OpenID Connect我可以对用户进行身份验证,还可以保护整个API。
提前致谢。