鉴于:
所以,让我们说我在一个域(www.aaa.com)上有一个Ruby on Rails Web应用程序A,其中包含用户信息(电子邮件,密码,名称)。我想使用Java Web Application B(在www.bbb.com上),这是一个搜索工具,其中包含有关用户政治活动的信息,并可以通过API公开其搜索功能(例如,api.bbb.com / search?query = Jose),并整合其搜索功能。 B不包含用户信息(尽管我们假设您可以在B上创建一个创建操作,以便在用户被激活"作为A中的有效用户时创建用户)。 A是一家公司的产品,B是另一家公司的软件产品。
要求:
我希望搜索结果显示在Web应用程序A服务的网页上,而临时用户永远不会知道他们以任何方式使用应用程序B.我当然希望确保它是应用程序B方面正在访问其搜索功能的经过身份验证的用户。
我可以选择在A和B上安全地验证应用程序用户,以便它可以使用应用程序B的资源吗?我会说OAuth可能是一个很好的解决方案,但我想让用户体验无缝 - 他们不应该知道他们正在访问B的资源,所以让他们登录B并重定向回A不会见面要求(据我了解OAuth流程)。