理解OAuth2.0和REST安全

Question

在我目前的工作中，我必须开发一个实习生REST引擎。我读过corresponding的论文，记录了我自己，最后我得到了一些非常容易使用的东西，具有很高的性能，与Fielding REST规范相对应。

只有一点我不知道如何克服:安全问题。

再次，我记录了自己，我想在我的引擎中使用OAuth2.0。问题是我一点也不懂如何使用这个协议。

• 我不明白消费者如何连接自己并被服务器识别。
• 我不明白我是否必须向我的消费者提供API密钥(比如Facebook、Twitter和谷歌制造)，或者如果我向服务器发送登录/密码，是否会自动生成令牌？
• 我不知道是否必须创建自己的OAuth2.0服务器来提供密钥，或者OAuth2.0库是否足以提供安全性。

事实上，我对OAuth2.0一点也不了解，我需要学习。问题是，我试着读的每一个文档都像中文一样，我没有找到一个容易的，一步一步地来帮助我。

这就是我在这里发表文章的原因，你能帮我更好地理解OAuth2.0和API的安全认证吗？

我不愿谈论这些技术，因为在技术应用之前，我想了解OAuth2.0。

谢谢大家

Answer 1

OAuth (两个版本)的主要问题是，您将看到很多关于三条腿版本的讨论。也就是说，当您拥有用户、数据提供服务和消费服务时，让我们假设一个服务将创建flickr照片的物理副本。在这种情况下，OAuth流允许用户告诉flickr第三方可以访问他们的数据。这不是您想要的场景，您对两条腿的OAuth感兴趣，有关说明，请参阅这里。

当然，您也可以考虑其他方法。我在许多REST/Hypermedia API中使用了霍克，发现它在nodejs和.NET服务器堆栈中都很适合使用。

Answer 2

谢谢你的回答，我学习了更多的OAUth2，尝试用3种方法来实现它: basic，clientPassword，bearer。

我为另一个问题创建了一个新线程，如果您想参与其中的话：

用nodejs创建OAuth2服务器