Wir möchten einen vorhandenen Server verwenden, um Anforderungen an einen neuen, zweiten Server zu authentifizieren. Beide Server sind vertrauenswürdig, der vorgeschlagene Workflow ist unten dargestellt.Authentifizierungsfluss zwischen zwei vertrauenswürdigen Servern
Wir können in diesem Beispiel davon ausgehen, dass Server 2 keinen Zugriff auf die Authentifizierungs-Token-Datenbank von Server 1 hat.
- Benutzer sendet Benutzername/Passwort an den Server 1, Server mit einem Authentifizierungstoken reagiert.
- Benutzer fordert eine Ressource von Server 2, einschließlich Auth-Token vom Server 1
- Server 2 prüft mit Server 1, die Auth-Token
- Wenn Token gültig ist, Server 2 antwortet mit angeforderte Ressource
Hat dieser Fluss einen bestimmten Namen? Es scheint zu keinem OAuth-Flow zu passen, den ich gesehen habe.
Wird dieser Fluss als eine gute Idee betrachtet? Wenn nicht, welche Alternative wäre zu empfehlen?
Dieser Fluss scheint fast identisch zu dem in How should a Facebook user access token be consumed on the server-side? empfohlenen zu sein, außer dass wir Facebook hier nicht verwenden.
Können Sie genauer sein? Welchen der OAuth-Flüsse würden Sie empfehlen? – RYFN
Abschnitt 1.2: Protokollfluss http://tools.ietf.org/html/rfc6749, hoffe, dies wird helfen – SecurityNinja
Der Fluss hängt meist vom Client ab: ist es öffentlich oder vertraulich? ein Skript, eine native Anwendung ... Trotzdem @SecurityNinja hat recht, das OAuth2-Framework-Protokoll sollte auf Ihre Bedürfnisse passen. In der OAuth2 Sprache ist der Server 1 der "Authorization Server", der Server 2 ist der "Resource Server" und die App ist der "Client" –