什么是两条腿的Oauth

时间:2012-03-01 10:21:56

标签: php api rest oauth 2-legged

我一直在探索我目前正在开发的REST API的OAuth版本1.0。

我有3个身份验证方案

  1. 这涉及3方,服务提供商,消费者和用户。三条腿的Oauth符合这种情况。
  2. 涉及2方,消费者和服务提供商。这是一个双腿Oauth最适用的场景,如果是这样的话,这个过程是什么,因为基于我的理解,这与基本认证之间几乎没有区别。
  3. 我还创建了一种特殊类型的用户,可以在未经用户授权的情况下始终访问当前登录用户的数据。如何在实现OAuth的同时适应图片。
  4. 使用这种情况?我怎样才能整洁地实现Oauth,这怎么能帮助我理解3腿和2腿的Oauth过程?

1 个答案:

答案 0 :(得分:1)

1号:正确,只需使用典型的3腿oauth流量。

数字2.双腿oauth与http-basic几乎相同,只是oauth签名可以再次为你提供MITM攻击保护(但是如果你使用http-basic而不是TLS,那么你获得同样的保护)。两条腿oauth的过程只是用消费者密钥/秘密签署请求,这与http基本上的用户名/密码同义。

第3号。我不是100%清楚你的意思,但这听起来类似于谷歌使用谷歌应用程序域的2腿oauth。在这里查看他们的文档:https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth

您是否考虑过OAuth 2.0?它仍处于草案阶段,但它对于不同的场景具有更大的灵活性。可能需要考虑的事情。 http://oauth.net/2/