¿Tiene sentido implementar OAuth cuando no hay un tercero involucrado

16

Tengo una API REST en el lado del servidor y una aplicación web distinta que llamaría a esas API.

Quiero asegurar mis llamadas API.

Después de algunas lecturas, quiero implementar el mecanismo OAuth 1.0a en el lado del servidor. De hecho, tratar con tokens temporales, nonces, etc. es mucho más seguro que una solución básica HTTP tradicional que depende en gran medida del cifrado SSL.

Sin embargo, en la mayoría de los ejemplos que encontré en la web, OAuth parece ser, en esencia, un medio para acceder a algunos datos de un propietario de recursos (como Facebook, Twitter, etc.) sin la necesidad de que el usuario transmita su credenciales correspondientes a mi propia aplicación.

Mi pregunta es: ¿Tiene sentido implementar OAuth si mis actores son solo mi propia aplicación web y mi propio conjunto de API en el lado del servidor (lo que significa que no están involucrados datos externos proporcionados por un tercero)? De hecho, realmente quiero beneficiarme de su algoritmo.

    
pregunta Mik378 14.02.2014 - 14:31
fuente

1 respuesta

7

Si bien no es necesario tener la complejidad de OAuth cuando se autentica contra su propio sistema (porque puede compartir los datos de su cuenta de usuario real) si desea proporcionar ese nivel de aislamiento al servidor del usuario, entonces el uso de OAuth sí lo hace. Todavía te ofrece ventajas. En ese momento, simplemente estaría implementando un proveedor de OAuth independiente que sus diversos servicios podrían usar como inicio de sesión único en todo su sistema.

También puede permitir que los usuarios utilicen su perfil como inicio de sesión único para otros servicios si así lo desea haciendo que otros sitios puedan utilizar la cuenta de OAuth.

    
respondido por el AJ Henderson 14.02.2014 - 15:28
fuente

Lea otras preguntas en las etiquetas