oAuth或不?
我有点迷失于信息的泛滥,我需要一些关于我可以支持的最佳方式的指导,只向可信的客户端提供API访问。
当前环境:
我们目前有一个中央服务器,通过Apache Shiro处理用户认证/授权。
我们拥有内部API,可与中央服务器进行内部通信,以验证和管理令牌。 (因此启用SSO)。
我们的客户端应用程序和API之间的通信通过SSL进行保护。
使用基于令牌的认证。
目标:
我们的目标是允许第三方应用程序和API与我们的集中认证服务器进行通信。 但我们主要担心的是网络钓鱼,因为我们只希望“有效”的各方与我们进行沟通,并且最好不允许在第三方身上暴露身份验证信息。
问题:
1-实施这种架构的最佳方式是什么? 我们应该继续使用OAuth吗? 如果是的话,是否有一种很好的方式将其与Shiro整合?
2,OAuth在移动应用程序上也会做得很好吗? (例如,除非应用程序是可信的,否则限制对REST API的访问)
3-是否有可用于Java的OAuth提供程序库,或者OAuth仅仅是我必须实现的“标准”? (例如,实施RESTful API)
4- SSO是否轻松支持OAuth?
对于模糊的问题抱歉。 我只需要一般的指导和建议。
这是我的答案,
关于如何设置OAuth服务器/提供者的一些信息 - 高效的OAuth2.0服务器/提供者将如何工作?
正如你所说,你需要让用户授权一个应用程序(接受/拒绝应用程序要求的权限) - 完美的OAuth 2.0用例。
如果您需要更多关于OAuth如何工作的信息,请随时关注。
PS - 不知道与Shiro整合。
链接地址: http://www.djcxy.com/p/71405.html上一篇: oAuth or not?