मुझे पता है कि इस सवाल को हजार बार पहले पूछा गया है लेकिन मैं अभी भी जवाबों को सही ढंग से समझने में असमर्थ हूं। जब मैं इस विषय के बारे में गुमराह करता हूं तो मुझे लगता है कि अधिकांश लोग ओउथ का उपयोग करने के लिए आराम से webservice सुरक्षित करने का सुझाव देते हैं।ओथ के साथ आराम से webservice कैसे सुरक्षित करें?
मेरा मानना है कि ओथ केवल तभी लागू होता है जब आप तीसरे पक्ष के अनुप्रयोगों को उपयोगकर्ता के प्रमाण-पत्र साझा किए बिना सुरक्षित संसाधनों तक पहुंच की अनुमति देते हैं।
मेरे मामले में मैं आराम से सेवा सुरक्षित करना चाहता हूं जिसे केवल हमारे अपने विकसित मोबाइल एप्लिकेशन द्वारा एक्सेस किया जा सकता है। मैं यह समझने में असमर्थ हूं कि केवल इस उद्देश्य के लिए मैं शांत संसाधनों को सुरक्षित करने के लिए ओथ का उपयोग कैसे कर सकता हूं। मेरी आवश्यकता यह है कि पहली बार उपयोगकर्ता आवेदन में अपने प्रमाण पत्र दर्ज करेगा। सफल प्रमाणीकरण एप्लिकेशन पर एक एक्सेस टोकन प्राप्त होगा जिसका उपयोग सुरक्षित संसाधनों तक पहुंचने के लिए किया जाएगा।
जबकि बाहरी उपयोगकर्ता के मामले में सबसे पहले मोबाइल एप्लिकेशन से प्राधिकरण प्रदाता वेबसाइट पर रीडायरेक्ट हो जाता है (मोबाइल एप्लिकेशन को तीसरे पक्ष के ऐप के रूप में मानते हुए) जहां वह क्रेडेंशियल्स में प्रवेश करता है और फिर कॉल बैक यूआरएल के माध्यम से मोबाइल एप्लिकेशन को एक्सेस टोकन प्राप्त होता है सुरक्षित संसाधनों तक पहुंच प्राप्त करने के लिए।
मैंने एपीजी से वेब एपीआई डिजाइन गाइड पढ़ा जिसमें उन्होंने दृढ़ता से बाहरी उपयोग करने की सिफारिश की। वास्तव में ओफी का उपयोग करके एपीजी ऐप सर्विसेज सुरक्षित हैं और वे वही चीजें कर रहे हैं जिन्हें मुझे ओथ का उपयोग करने की ज़रूरत है। निम्न कर्ल कमांड के रूप में दिखाता है कि एपीआईआई एपीआई दस्तावेज़ीकरण के अनुसार उपयोगकर्ता नाम और पासवर्ड का उपयोग करके टोकन एक्सेस कैसे प्राप्त करें।
curl -X POST -i -H "Content-Type: application/json" " https://api.usergrid.com/my-org/my-app/token " -d '{"grant_type":"password","username":"john.doe","password":"testpw"}'
मेरा पहला सवाल यह है कि अगर मैं एक ही दृष्टिकोण है कि, किसी भी पुनर्निर्देशन और कॉलबैक बिना पहुंच टोकन प्राप्त करने के लिए तीसरे पक्ष आवेदन यह Oauth विनिर्देश या नहीं के उल्लंघन में परिणाम होगा की अनुमति देता है का पालन करें?
मेरा दूसरा सवाल यह है कि क्या हम उन परिदृश्यों के लिए बाहरी उपयोग कर सकते हैं जिनमें कोई तृतीय पक्ष एप्लिकेशन शामिल नहीं है और सुरक्षित संसाधन पहुंच एप्लिकेशन उपयोगकर्ता और संसाधन प्रदाता के बीच किसी भी प्रकार की पुष्टि के बिना है।
हाइब्रिज़ टेक ब्लॉग पर उत्तर मिला। जिस परिदृश्य में मैं थ्रेड में चर्चा कर रहा था वह Oauth2 संसाधन मालिक पासवर्ड प्रवाह में शामिल है। http://techblog.hybris.com/2012/06/11/oauth2-resource-owner-password-flow/ – Noor
आप अपना खुद का ओथ प्रदाता बन जाते हैं, और फिर आपका मोबाइल एप्लिकेशन अपना स्वयं का ऑउथ उपभोक्ता स्थापित कर सकता है जो इसका उपयोग करता है प्रदाता। –