Estoy trabajando en un diseño de seguridad específico. Al leerlo, parece una forma de OATH, pero no estoy seguro de qué tipo.
El esquema es el siguiente:
- El cliente se autentica a través de un portal web (servidor de autorización) con una contraseña de nombre de usuario.
- Después de una autenticación exitosa, el usuario se reenvía al propietario del recurso, la solicitud contiene un token.
- El propietario del recurso valida el token con el servidor de autorización.
- El servidor de autorización dice quién es el usuario correspondiente.
Ahora mi pregunta es: ¿Cómo se llama este esquema?
+--------------+ +---------------+
| | | |
| | 1. sends user & pass | authorization|
| client | +----------------------------> | server |
| | | |
| | | |
| | | |
| | | |
+--------------+ +----^------+---+
| |
| |
3. validates if | | 2. if correct, credentials
256 bit string is | | forwarded as 256 bit string.
valid. | |
| |
+----+------v---+
| |
| resource |
| owner |
| |
| |
| |
| |
+---------------+
ACTUALIZAR :
Espero que mi caso de uso se aclare un poco más. Solo puedo hacer cambios menores en el propietario del recurso (para una variedad de problemas no relacionados con la tecnología) y el tipo de autenticación que deseo (dos factores) no es un cambio menor.
Así que quiero que el servidor de autenticación redirija (después de una autorización exitosa) el cliente al propietario del recurso ([512 bit string] POSTed a enlace .
Ahora el propietario del recurso pregunta al servidor de autorización: ¿es este token válido y para qué usuario? Se devolverá el ID de usuario es válido.
- El token caduca a los 5 segundos.
- El token es solo un token, no hay nada cifrado dentro del token.