Я пытаюсь использовать OAuth2 для API, который я создаю, но могу использовать некоторое объяснение того, как будет работать поток. Я нашел похожие вопросы (например: Securing my REST API with OAuth while still allowing authentication via third party OAuth providers (using DotNetOpenAuth)), но они не разъясняют, что касается стороннего входа.OAuth2 для пользовательского API
Я не хочу использовать OpenID (все равно, в любом случае), особенно если проверка подлинности делегацией может работать нормально. Это кажется чрезмерно сложным и не имеет много хорошо поддерживаемых библиотек. (Я использую PHP + Laravel 4)
Проблема разделяется на 4 (иш) лиц:
- владелец ресурса - Конечный пользователь
- Client - Browser (Мой сайт), мобильный приложение или аналогичное
- Сервер авторизации - Мой сервер OAuth2
- Ресурсный сервер - мой API. Служит пользователям.
Я думаю, что я понял, поток для того, когда пользователь создает учетную запись на моем Идент сервере и использования, на которые приходится войти в систему:
- Пользователь заполняет имя пользователя/пароль на клиенте.
- Клиент подключается к серверу Auth, используя поток Владелец ресурса, аутентифицирует пользователя и автоматически разрешает Клиенту.
- Пользователь перенаправляется с сервера AUth обратно на клиент, с подписанным токеном + JWT, содержащим идентификатор пользователя.
- Клиент сохраняет токен в сеансе.
- Клиент использует идентификатор пользователя с идентификатором + подписанный JWT для запроса данных с сервера ресурсов.
- Сервер ресурсов проверяет JWT и возвращает данные в зависимости от областей токена.
Я еще не протестировал рабочий процесс, но похоже, что это сработает. Однако сторонний логин оказался более сложным. Это то, что у меня есть до сих пор:
- Пользователь нажимает логин с помощью Google/Facebook/LinkedIn.
- Пользователь перенаправляется с Клиента на сервер Auth на Google (не мой).
- Пользователь регистрируется с помощью пользователя/передает и разрешает клиенту получать некоторый защищенный ресурс (userinfo.email). Это аутентифицирует пользователя путем делегирования.
- Пользователь перенаправляется обратно на Клиент, с подписанным токеном + JWT, содержащим идентификатор пользователя Google.
- Клиент проверяет JWT.
- Клиент использует поток учетных данных клиента для подключения к серверу ресурсов. Получает новый токен.
- Клиент сохраняет токен в сеансе.
- Клиент просит конвертировать идентификатор пользователя Google в идентификатор пользователя приложения. (Это соединение было сделано во время регистрации.)
- Сервер ресурсов возвращает идентификатор пользователя приложения. (Подписанный JWT)
- Клиент использует идентификатор пользователя с идентификатором + подписанный JWT для запроса данных с сервера ресурсов.
- Сервер ресурсов проверяет JWT и возвращает данные в зависимости от областей токена.
Это может сработать, но это ужасно сложно. Неужели должен быть способ пропустить некоторые из этих шагов? Меня особенно интересует шаг 8-10. Насколько мне известно, пользователь никогда не должен взаимодействовать с моим сервером Auth, используя сторонний логин. Проблема в том, как наилучшим образом подключить успешный id_token (или что-то еще) от Google/Facebook/LinkedIn к ресурсу учетной записи в моем API.
Прямо сейчас, я не беспокоюсь о других клиентах, подключающихся к API, но это то, что произойдет в будущем.
Я не думаю, что любой из этих интерфейсов обеспечивают электронную почту пользователя. Таким образом, у вас может не быть уникального идентификатора для группировки нескольких учетных записей социальных учетных записей. Что вы можете сделать, так это попросить пользователя ввести свои данные после аутентификации из API. Для вашей стороны API я предлагаю использовать API-интерфейс OAuth2. У них есть все, что внутри, и у вас будет больше времени, чтобы беспокоиться о других вещах. :) – astroanu