使用oauth确保Spring restful web服务是一种很好的方法吗?

时间:2014-11-12 06:43:21

标签: java spring security oauth

我不是安全专家。我们准备了春季安全的春季休息网络服务。

现在我对确保我们的网络服务安全的最佳方法感到困惑。

我们也将拥有SSL连接。我们的移动应用程序和Web应用程序将使用我们的Web服务。

我读过关于Oauth 1.0和2.0协议现在非常流行授权Web服务。

所以任何人都可以指导我,我应该使用Oauth机制,因为它主要用于访问第三方数据,在我们的例子中它不是必需的,但我们的客户端方法使用OAuth2.0或SSL与SHA哈希算法是很好地保护网络服务?

1 个答案:

答案 0 :(得分:1)

如果没有第三方客户端应用程序访问您的Web服务,则不需要OAuth 2.0。可能,HTTPS + Basic Authentication就足够了。

如果您可能希望将来允许第三方客户端应用程序访问您的Web服务,则从一开始就基于OAuth 2.0体系结构设计Web API是值得的。在这种情况下,它是" Client Credentials Flow"您希望首先在four flows(OAuth 2.0)中定义的RFC 6749中实施。 "客户证书流程"不需要最终用户授权。也就是说,流程仅关注客户端凭据(客户端ID和客户端密钥)。客户端凭据流的初始实现只会向您的客户端应用程序发出访问令牌。

我对OAuth 2.0的一句话定义如下。

  

OAuth 2.0是一个服务用户可以允许的框架   第三方应用程序,用于访问服务中托管的数据   没有透露他/她的凭据(ID和密码)   应用

Service, User, Client Application in OAuth 2.0

是否应该采用OAuth 2.0取决于第三方客户端应用程序是否访问您的Web服务。

相关问题
最新问题