假设我有2台服务器(服务器和身份验证器),我有一个客户端。我的最终目标是能够在服务器上识别客户端。我的解决方案是提出像OAuth这样的令牌/秘密系统:客户端有令牌和秘密。它将它传递给服务器。服务器将其传递给身份验证器。如果有效,服务器允许请求。
显然,这对于正在发出的请求数量来说并不是最优的。认证者和服务器分开的原因是因为这是一个分散的服务 - 可以使用任意数量的服务器,并且要求客户端库在每个服务器上注册是不切实际的。
所以,问题仍然存在,做到这一点的最佳/正确方法是什么?目标是创建一个分散的系统,但仍然可以让客户以相对安全的方式向服务器标识自己。
答案 0 :(得分:1)
免责声明:我不是安全专家,所以我可以在这里离开基地,在实际实施中,似乎有许多安全问题需要解决。
从最广泛的意义上说,您是否可以为验证者提供客户端供应凭证,然后验证时验证者为客户端和服务器提供匹配的安全令牌,然后客户端和服务器可以直接通信?
只是好奇你不想实施OAuth并运行自己的OAuth服务器。
其他参考:http://groups.google.com/group/37signals-api/msg/aeb0c8bf67a224cc
答案 1 :(得分:0)
原来解决方案是更好地定义我的问题。由于我只是想创建一种阻止应用程序的方法,我只需要在请求服务器时存储他们的名字和密钥。然后,只要它们没有被阻止并且密钥与数据存储区中的密钥匹配,它们就会被识别出来。因此,我不是要尝试进行身份验证。感谢您的投入!