2-legged OAuth и REST

Question

Я хотел бы разместить веб-службу в настоящий момент в интрасети моей компании в Интернете, чтобы сделать партнеров доступными для информации, предоставляемой веб-службой. На данный момент веб-сервис находится в SOA, и я решил переместить все на веб-службу RESTful, поэтому в веб-ориентированной архитектуре. Я рассматриваю некоторые аспекты безопасности, которые я должен учитывать для выполнения этой операции.

Я не знаю, какое решение может быть более полезным в моем случае. Я уже искал информацию HMAC, OAuth, но хотел бы знать, возможно ли использовать OAuth, не вводя третью часть.

Например, партнер хочет подписаться на веб-сайте, а затем продолжить навигацию, является двунаправленным OAuth полезным для моих нужд? Есть ли другое полезное решение безопасности для этой операции?

Действительно спасибо.

Answer 1

Да, OAuth поддерживает «двухногий» корпус; просто опустите параметр oauth_token, а затем используйте либо HMAC-SHA1 (общий секрет), либо RSA-SHA1 (открытый ключ) по желанию. Стоит отметить, что подписи не охватывают все, что может отправить клиент API; он не охватывает тело запросов PUT или тело запросов POST, которые не являются отправкой форм.

Возможно, вам захочется исследовать просто HTTPS + Basic Auth, поскольку это позволяет использовать множество готовых программ (Apache или их эквивалент) без необходимости вносить подписные библиотеки в ваш клиент и сервер.