oauth - 使用 OAuth 保护我的 REST API，同时仍然允许通过第三方 OAuth 提供商进行身份验证(使用 DotNetOpenAuth)

Question

我有一个具有简单 REST API 的产品，以便该产品的用户可以直接集成该产品的功能，而无需使用我的 Web 用户界面。

最近，各个第三方都对我感兴趣，希望将他们的桌面客户端与 API 集成，以允许我的产品的用户使用该第三方应用程序访问他们的数据。

我发现想要使用 Twitter 的应用程序使用 Twitter 托管的登录页面进行身份验证，该登录页面授予特定应用程序访问该用户数据的权限。单击“允许”或“拒绝”按钮，身份验证过程即完成。据我所知，Facebook 使用了相同的机制。

经过进一步研究，这似乎是 OAuth 的实际应用，并且由于我的 API 是基于 .Net 的，我认为我应该使用 DotNetOpenAuth 并提供类似的机制。不幸的是，这些示例的记录很少(如果有的话)，我在网上找到的唯一教程似乎集中于帮助您为用户提供登录机制，以便他们可以使用第三方提供商登录您的网站。

我真正想做的是让我的 REST API 处理我的 Web 应用程序的所有核心身份验证和业务逻辑，并且在幕后，我的 Web 应用程序本质上是另一个应用程序只需通过 OAuth 使用 API。用户可以直接使用用户名和密码，或者通过第三方提供商(例如 MyOpenID 或 Facebook)在网站上进行身份验证，然后网站将以某种方式使用返回的 token 对 REST API 进行身份验证。

基本上看起来我需要我的 API 以某种方式托管 OAuth 服务，但也让用户使用第三方 OAuth 服务。我情不自禁地认为我对 OAuth 没有足够的了解，无法确定我是否使事情变得过于复杂，或者我正在尝试做的事情是好是坏。

有人可以给我至少一个关于我需要采取的步骤的广泛概述，或者我应该考虑什么来实现这一目标吗？或者给我一些教程？或者抨击我的提案并告诉我我的做法(在架构上)完全错误？

Answer 1

首先我想强调身份验证和授权之间的区别:

用户通过提供一些凭据(例如用户名+密码)来对您的网站进行身份验证。 OpenID 允许通过让用户向另一个服务进行身份验证来取代这一点，然后该服务代表用户向您的网站断言用户的身份。您的网站信任第三方服务(OpenID 提供商)，因此认为用户已登录。

服务或应用程序不会对您的网站进行身份验证——至少通常不会。用户授权服务或应用程序访问用户的数据。这通常是通过应用程序请求服务提供商的授权来完成的，然后将用户发送到服务提供商，用户首先进行身份验证(以便服务提供商知道它在与谁交谈)，然后用户对站点说“是的， [应用程序]可以[以某种受限方式]访问我的数据”。从那时起，应用程序使用授权 token 来访问服务提供商站点上的用户数据。请注意，应用程序不会像用户一样对自身进行身份验证，但它使用另一个代码来确保服务它有权访问特定用户的数据。

因此，明确了这种区别后，您就可以在网站上完全独立地做出有关身份验证和授权的决策。例如，如果您希望用户能够使用以下所有内容登录:用户名+密码、OpenID 和 Facebook，您可以这样做。一个完全正交的决定是您如何授权应用程序(您可以使用许多协议(protocol)来实现此目的，OAuth 当然非常流行)。

OpenID 专注于用户身份验证。 OAuth 专注于应用程序授权。但是，Facebook 和 Twitter 等少数服务选择使用 OAuth 进行身份验证和授权，而不是使用 OpenID 进行身份验证和 OAuth 进行授权。

现在，对于您自己的项目，我强烈建议您查看 ASP.NET MVC 2 OpenID web site (C#)项目模板可从 VS Gallery 获取。它开箱即用，支持 OpenID 身份验证和 OAuth 服务提供商。这意味着您的用户可以使用 OpenID 登录，并且第 3 方应用程序和服务可以使用 OAuth 对您的网站进行 API 调用并访问用户数据。

听起来您想要在开始后添加到此项目模板中的是让您的用户能够使用用户名+密码以及 OpenID 登录。此外，如果您希望 Facebook 和 Twitter 成为您的用户的一个选择，您也必须实现这一点，因为它们不使用 OpenID 标准。但 DotNetOpenAuth 下载包含使用 Twitter 和 Facebook 登录的示例，因此您可以在那里获得一些指导。

我怀疑您在授权方面不会有太多事情可做。正如我之前所说，它附带 OAuth，这可能足以满足您的需求。