У нас есть веб-служба, которая в настоящее время использует Basic Auth over https для аутентификации пользовательских запросов. У нас также есть веб-сайт, который использует службу, и собственный клиент Windows, который также использует веб-службу. Я читал об OAuth, и кажется, что он всегда используется для предоставления или получения доступа к внешним ресурсам, т. Е. Делегированию, но я пытаюсь понять, заменяет ли это Basic Auth.Использование OAuth вместо обычной проверки подлинности?
Я не совсем уверен, как все детали подходят друг к другу. Вы используете Basic over https на веб-сайте, чтобы получить секрет, а затем javascript, который делает запросы к службам REST аутентифицированы для веб-службы, используя OAuth вместо Basic?
Кажется, что в какой-то момент пользователь должен ввести свое имя пользователя и пароль в форму. Я не уверен, что обычно происходит дальше. Это даже вариант использования OAuth?
Что вы описываете, это не OAuth, его собственный метод защиты от токенов. Я рассмотрел аналогичную схему, но хотел использовать стандарт. – bpeikes
Кроме того, ваша статья требует, чтобы на основе auth через http, которая была бы огромной дырой в безопасности. – bpeikes
Nop Я не согласен с вами, это единственный поток потока OAuth, это не проверка подлинности, и я упомянул, что это должно быть сделано над https в производстве. Кажется, вы плохо читали. Подробнее об этом потоке: [link] (https://tools.ietf.org/html/rfc6749#section-1.3.3). –