gpt4 book ai didi

API认证设计

转载 作者:IT王子 更新时间:2023-10-29 02:05:11 26 4
gpt4 key购买 nike

我计划构建一个由两台服务器组成的 Web 服务 - 一个 API 后端(RESTful 和无状态)和一个 Web 服务器前端。后端将使用 Go 构建,Web 服务器使用 PHP 或 Java。

基本上我希望多个用户通过使用他们的 facebook 或 google 凭据使用他们的网络浏览器登录,我知道我必须使用 OAuth。

然而,我对应该如何设计身份验证深感困惑。我可以简单地单独在网络服务器上实现 OAuth,然后使用 API key / secret 通过我的 API 验证网络服务器并通过它们两者之间的加密连接进行通信。那是安全的并且可以正常工作还是我应该以其他方式实现身份验证?

我制作了一个简单的方向图,展示了我对如何做到这一点的想法。

Authentication diagram

我真的希望你们能给我指出正确的方向。

最佳答案

解决问题的两种常见方法:

可信子系统模型与委派模型

可信子系统

使用受信任的子系统模型,为前端的每个用户维护单独的 key 和 secret 可能是不切实际的,受信任的子系统模型基本上声明具有 api 权限的系统(Web 服务器)负责或受信任验证/授权用户访问该 API,并获得这样做的权限。

您所做的是为网络服务器提供一个帐户,并允许网络服务器授权访问该 API。

委托(delegate)模型

如果您可以控制 api 的身份验证方式,您可以使用与前端相同的方法并重用最终用户安全主体来向后端 api 进行身份验证。

关于API认证设计,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31518501/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com