[英]Stand alone OAUTH2 server communication with resource API servers
鉴于我将创建一个OAUTH2身份验证服务器。 鉴于我将拥有单独的资源服务器,因此公开了REST API。
身份验证服务器和API服务器之间的最佳通信实践是什么?
要说明OAUTH2服务器将是一个代理,该代理对用户进行身份验证并将请求转发到不是第三方的其他API服务器,而是在OAUTH2代理的幕后,依靠它来了解请求给定命令的代理(用户)\\查询。
最简单的方法是,身份验证服务器将在安全连接下转发用户ID(也与ACL规则一起存储在每个API服务器上),并且访问将仅限于请求从身份验证服务器转发到资源API服务器。 在这种情况下,身份验证服务器将转发用户ID,但是在进行中间攻击时似乎很容易接受(将API服务器上的防火墙配置为仅接受来自身份验证服务器的请求)。 另一个问题是OAUTH代理的折衷,它自动授予来自它的任何请求。
是否有准备好的解决方案和模式来应对这种情况? 谢谢!
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.