Какой вариант OAuth2 использовать при работе с веб-интерфейсом

Question

У меня есть backend, работающий с Django 1.7, и интерфейс, разработанный отдельно с помощью Bootstrap. Передняя панель ведет переговоры с бэкэнд через API REST, который я хочу защитить с помощью OAuth2.

Вопрос в том, какой тип гранта использовать? Я доверяю людям, работающим в интерфейсе, но это не значит, что я доверяю Javascript :-) Я не могу решить, должен ли я выбирать неявный грант или пароль владельца ресурса.

Любой опытный совет?

Answer 1

Особенно при работе с API, который не находится на том же домене или сервере, что и ваш интерфейс, обычно лучше использовать что-то вроде потока веб-приложений для OAuth 2. Обычно это называется implicit grant и использует grant_type от token.

Таким образом, вам не нужно беспокоиться о отправке учетных данных через провод, как вам нужно для resource owner password credentials grant. В то же время вам также не нужно скрывать секретные ключи для authorization code grant.

С неявным грантом на локальном компьютере должен храниться только токен OAuth. Это должно быть лучше, поскольку токен должен быть способен быстро отменить в случае, если токен станет общедоступным или что-то еще заставляет его признать недействительным. Пользователь должен быть зарегистрирован на сервере API при запросе авторизации, но большинство поставщиков OAuth поддерживают страницу пользовательского входа, которая также может использоваться.

С предоставлением учетных данных пароля на локальном компьютере должны храниться как имя пользователя, так и пароль, что требует дополнительной защиты. Их также значительно сложнее отменить, если возникнет такая необходимость.