2-legged OAuth und REST

Question

Ich möchte einen Web-Service, der sich momentan in einem Intranet meiner Firma befindet, ins Internet stellen, damit Partner auf Informationen zugreifen können, die vom Web-Service bereitgestellt werden. Im Moment befindet sich der Webservice in einer SOA, und ich habe beschlossen, alles auf den REST-fähigen Webdienst zu übertragen, also in einer weborientierten Architektur. Ich denke über einige Sicherheitsaspekte nach, die ich bei dieser Operation berücksichtigen sollte.

Ich weiß nicht, welche Lösung in meinem Fall nützlicher sein kann. Ich habe schon nach HMAC, OAuth-Informationen gesucht, aber ich würde gerne wissen, ob es möglich ist, OAuth zu verwenden, ohne einen dritten Teil einzuführen.

Zum Beispiel, ein Partner möchte die Website anmelden, und dann die Navigation fortsetzen, ist 2-legged OAuth für meine Bedürfnisse nützlich? Gibt es andere nützliche Sicherheitslösung für diesen Vorgang?

Wirklich Danke.

Answer 1

Ja, OAuth unterstützt einen "2-legged" -Fall; Lassen Sie den Parameter oauth_token einfach weg und verwenden Sie dann entweder HMAC-SHA1 (gemeinsames Geheimnis) oder RSA-SHA1 (öffentlicher Schlüssel) wie gewünscht. Es ist erwähnenswert, dass die Signaturen nicht alles abdecken, was ein API-Client senden könnte. Es umfasst nicht den Hauptteil von PUT-Anfragen oder den Hauptteil von POST-Anfragen, die keine Formulareinreichungen sind.

Vielleicht möchten Sie einfach die Verwendung von HTTPS + Basic Auth untersuchen, da Sie so viele handelsübliche Software (Apache oder Ähnliches) nutzen können, ohne Signierbibliotheken in Ihren Client und Server einführen zu müssen.