Создайте REST WebService с GAE, используя OAuth

Question

Я собираюсь создать платформу сообщества с нуля. Сначала мы создадим WebServices, и у сообщества могут быть сторонние компоненты, поэтому иметь надежные WebServices - это хорошая идея.

Поскольку служба не имеет гражданства, нам нужна аутентификация для каждого отдельного вызова. Является ли хорошей идеей реализовать протокол OAuth для нашего поставщика услуг для выполнения этой задачи, хотя мы сейчас единственный потребитель?

Кстати: перед запуском веб-сайта мы доставим мобильное приложение.

Answer 1

Весь смысл OAuth - разрешить другим веб-сайтам (потребителям) получать доступ к вашим данным (вы являетесь поставщиком). Поскольку вы единственный потребитель ваших данных, нет необходимости внедрять OAuth на этом этапе разработки.

Будьте аккуратны, строите что-то быстро и ставьте перед пользователями/тестерами. Только на этом этапе вы обнаружите реальные ошибки и получите обратную связь по сервису, чтобы вы могли улучшить его и управлять разработкой в ​​правильном направлении.

Примечание: OAuth as provided by App Engine (второй абзац) поддерживает только пользователей с учетными записями Google (даже если используется OpenID).

Answer 2

Из моего опыта я создал REST WS аутентификационным агностическим способом: методы джерси принимают все, а затем для проверки запросов есть несколько фильтров. Я использовал аутентификацию OpenId для веб-части, OAuth и BASIC AUTHENTICATION (с SSL) для API.

Возможно, не нужно создавать все с самого начала, но не забывайте деактивировать максимально возможную конечную точку REST от аутентификации: у вас будет большая польза, если вы захотите выпустить API.

Последняя «философская» вещь: OAuth не является полностью безгосударственным, на самом деле у вас есть временный токен, который аутентифицирует пользователя и похож на сеанс в браузере!