Как использовать OAuth с RPC?

Question

(Я очень мало знаю об OAuth, поэтому, пожалуйста, несите меня).

У меня есть бэкэнд-система, которая предназначена для использования другими компаниями через API REST-ish. Я добавил Basic Auth, и теперь мне нужно проверить учетные данные. Я думал об использовании OAuth, поэтому я могу избавить свои ресурсы от компании, позволяя нашим партнерам самостоятельно управлять своими паролями.

Поскольку это не является RPC API, он должен: 1. Нет взаимодействия человеческого 2. должна быть быстрой (например, проверить на кэш в памяти)

Если/я могу использовать OAuth для этого? Если нет, каковы варианты?

Answer 1

Базовая аутентификация не является хорошей схемой аутентификации для API REST-ful (см. here для получения дополнительной информации).

Использование протокола безопасности OAuth2 не избавляет вашу компанию от управления паролями как таковой. Вы можете использовать службу, такую ​​как Azure AD (которая поддерживает OAuth2), и создать приложение с несколькими арендаторами. Это позволит вашим пользователям входить со своими учетными записями из своего собственного каталога Azure AD (которым они управляют сами).

Когда вы говорите API RPC, вы говорите об услугах SOAP или XML-RPC? Я предполагаю, что вы имели в виду последнего.

Несколько протоколов безопасности, которые используют токены-носители, имеют характеристики, которые вы ищете. Служба, получающая токен, должна только проверять цифровую подпись, чтобы определить, может ли она доверять токену. Это очень быстрая операция. Не требуется связи с эмиссионной службой аутентификации.

OAuth2 - это, безусловно, протокол, который бы соответствовал этим требованиям. Какой поток средств, который вы хотите использовать, зависит от вашего клиентского приложения. Я объяснил различные потоки грантов here.