OAuth 1.0a "Work" 当服务提供者提供消费者时
Does OAuth 1.0a "Work" When Service Provider Provides The Consumer
我正在设计一个 RESTful API/web-service,期望它最终能够被多个客户端 Web applications/consumers 使用。作为此服务的一部分,我希望第一个消费者是网络浏览器,其中 API/service 提供了一个可以访问 API.
的网站
是否有一种 feasible/secure 方式可以将 OAuth 1.0a 用于最终由 "same" 服务作为 API本身?
主要是,如果通过网络发送,我如何确保此消费者具有有效的秘密消费密钥?有没有办法在发送之前 "pre-register" 一个网页实例,它有自己的消费者密钥?
(我计划在此设计中使用 HTTPS。)
欢迎任何直接的回答,也欢迎任何对可能回答我的问题的其他在线 material 的引用。
谢谢。
在进一步的研究中,我发现 OAuth 2.0 的目标之一是考虑处理基于浏览器的 Web 应用程序的用例。
在 Oauth 2.0 中,基于浏览器的应用程序被视为 "public clients;" 规范有一个隐式授权工作流来处理这种类型的客户端。 Public 客户端是无法确保客户端标识符或客户端机密保密的客户端,因此,隐式授权流程不明确依赖于它具有客户端机密的要求。相反,客户端在获得访问令牌之前向授权服务器预注册重定向 URI。
因此,简而言之,没有一种在基于浏览器的应用程序中传递客户端机密 "over the wire" 的好方法。 (或者至少不是我发现的好方法。)而是可以使用 OAuth 2.0 隐式授权工作流。
我正在设计一个 RESTful API/web-service,期望它最终能够被多个客户端 Web applications/consumers 使用。作为此服务的一部分,我希望第一个消费者是网络浏览器,其中 API/service 提供了一个可以访问 API.
的网站是否有一种 feasible/secure 方式可以将 OAuth 1.0a 用于最终由 "same" 服务作为 API本身?
主要是,如果通过网络发送,我如何确保此消费者具有有效的秘密消费密钥?有没有办法在发送之前 "pre-register" 一个网页实例,它有自己的消费者密钥?
(我计划在此设计中使用 HTTPS。)
欢迎任何直接的回答,也欢迎任何对可能回答我的问题的其他在线 material 的引用。
谢谢。
在进一步的研究中,我发现 OAuth 2.0 的目标之一是考虑处理基于浏览器的 Web 应用程序的用例。
在 Oauth 2.0 中,基于浏览器的应用程序被视为 "public clients;" 规范有一个隐式授权工作流来处理这种类型的客户端。 Public 客户端是无法确保客户端标识符或客户端机密保密的客户端,因此,隐式授权流程不明确依赖于它具有客户端机密的要求。相反,客户端在获得访问令牌之前向授权服务器预注册重定向 URI。
因此,简而言之,没有一种在基于浏览器的应用程序中传递客户端机密 "over the wire" 的好方法。 (或者至少不是我发现的好方法。)而是可以使用 OAuth 2.0 隐式授权工作流。