關於使用OAuth使用自己的API的問題
[英]Questions About Consuming Your Own API with OAuth
問題描述
我正在為我正在開發的項目構建一個RESTful API,我想讓主應用程序使用API,因為:
- 這將導致維護一組代碼
- 如果我們決定公開第三方開發者的API,那么它已經完成了
- 它開辟了制作消費它的移動應用程序的可能性
- 我真的想學習如何做到這一點
API將托管在子域https://api.example.com ,主Web應用程序將托管在根域https://example.com 。
從概念上講,我理解一切是如何工作的,但我的主要問題是如果認證流程將會發生變化。 通常第三方應用程序將:
- 從
https://api.example.com/request_token獲取請求令牌 - 重定向用戶以在
https://api.authenticate.com/authorize上進行身份驗證 - 重定向回第三方應用程序
- 從
https://api.example.com/access_token獲取訪問令牌
由於我控制兩個域,我可以做類似的事情:
- 當用戶登錄
https://www.example.com上的登錄屏幕時獲取請求令牌 - 用戶使用
https://www.example.com上的表單進行身份驗證,該表單調用與https://api.example.com/authorize相同的代碼 - 如果憑據有效,則交換請求令牌以獲取訪問令牌
- 訪問令牌保存在會話中,並在用戶像往常一樣注銷時到期
第3步感覺它是錯的,因為會有重復的代碼,但不會讓我打開XSS攻擊是https://www.example.com上的登錄表單將數據發送到https://api.example.com因為它們在技術上是不同的域名?
我是不是太復雜了?
2 個解決方案
解決方案1
20 已采納 2011-12-16 17:49:07
我遇到了同樣的問題並像這樣解決了。
1對於使用我的API的第三方應用,他們必須通過OAuth對所有請求進行身份驗證。
2對於我自己的第三方客戶端(移動設備,AIR等) - 他們使用OAuth,區別在於我允許這些客戶端和密碼直接在授權步驟中發送(因此我可以進行本機登錄對話)。 這是因為您的API通過SSL / HTTPS。
3對於我的Web應用程序,我使用cookie身份驗證來訪問API。 即,在登錄后,用戶可以簡單地調用API:urls並獲取JSON / XML。 很適合快速瀏覽API(盡管像APIGee這樣的真正API控制台在那里做得更好)。
解決方案2
0 2011-12-16 12:42:57
我會說你有點過分復雜了。 如果您的代碼正確分離,您可以輕松地在應用程序的服務層上構建一個瘦REST層,同時讓應用程序的控制器成為服務層上的薄層。
在自己的 .NET 核心 ZDB974238714CA8DE634A7CE1D083A1F4 中從另一個 API 消耗 JSON
[英]Consuming JSON from another API in own .NET Core API
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.