我要求加密从浏览器发送到宁静的Web服务(https)的发布数据,并对其进行正确的身份验证。我正在浏览不同的可用选项,并遇到了不同的术语,如JWT,Oauth 2.0
在阅读jwt和oauth2之后,我有几个问题。
1)jwt是头,有效载荷和秘密的组合 - 这是一种可靠的方法。 2)Oauth2.0 2腿法 - 生成访问令牌并使用它直到到期 - 如何生成令牌的身份验证
你们能否就保护数据和正确验证数据的最佳方法提出一些建议。
TIA
答案 0 :(得分:0)
我要求加密从浏览器发送到我的帖子数据 restful web service(https)并正确验证它。
您的发布数据的加密将使用HTTPS执行,但有关身份验证的情况,您可以使用OAuth 2.0(例如,代表用户发布数据的情况)(根据RFC 6749的资源所有者)。
如果您没有以资源所有者的名义执行任何操作,您可以根据RFC 6749使用客户端凭据授予类型:https://tools.ietf.org/html/rfc6749#section-4.4(但请记住,您的客户端应用程序需要是注册应该由资源服务器识别的授权服务器 - 您的restful Web服务 - 执行令牌验证。
关于在这种情况下使用JWT,它可以用作资源服务器(您的restful Web服务)应该能够检查的自包含访问令牌。考虑到这种令牌验证,授权服务器和资源服务器都必须知道JWT。
另一件事:记住OAuth 2.0不是身份验证协议。它是一个可用于构建身份验证协议的授权框架(OpenID Connect就是一个例子)。