什么是两条腿的Oauth

Question

我一直在探索我目前正在开发的REST API的OAuth版本1.0。

我有3个身份验证方案

1. 这涉及3方，服务提供商，消费者和用户。三条腿的Oauth符合这种情况。
2. 涉及2方，消费者和服务提供商。这是一个双腿Oauth最适用的场景，如果是这样的话，这个过程是什么，因为基于我的理解，这与基本认证之间几乎没有区别。
3. 我还创建了一种特殊类型的用户，可以在未经用户授权的情况下始终访问当前登录用户的数据。如何在实现OAuth的同时适应图片。

使用这种情况？我怎样才能整洁地实现Oauth，这怎么能帮助我理解3腿和2腿的Oauth过程？

Answer 1

1号：正确，只需使用典型的3腿oauth流量。

数字2.双腿oauth与http-basic几乎相同，只是oauth签名可以再次为你提供MITM攻击保护（但是如果你使用http-basic而不是TLS，那么你获得同样的保护）。两条腿oauth的过程只是用消费者密钥/秘密签署请求，这与http基本上的用户名/密码同义。

第3号。我不是100％清楚你的意思，但这听起来类似于谷歌使用谷歌应用程序域的2腿oauth。在这里查看他们的文档：https://developers.google.com/accounts/docs/OAuth#GoogleAppsOAuth

您是否考虑过OAuth 2.0？它仍处于草案阶段，但它对于不同的场景具有更大的灵活性。可能需要考虑的事情。 http://oauth.net/2/