保护球衣 2 休息 API
Securing Jersey 2 Rest API
我正在使用 Jersey 2 构建网络爬虫(类似于 http://diffbot.com | SAAS)。
其他开发人员应该能够以安全的方式使用此 API(发出请求 -> 获得 JSON 响应)。
流程如下:
A 用户访问应用程序网站 (register/login)。
在 login/registration 之后,他应该会看到带有 API_KEY 和 API_SECRET 的面板。
他现在可以使用此 API_SECRET 访问 API,从而访问爬虫。
Ouath 适合吗?有 better/simpler 解决方案吗?
我假设您想为您的用户提供注册可以使用您的 API 的应用程序的可能性。
我会说对于您的用例,您不一定需要 OAuth。像基本身份验证(使用 SSL)这样的简单身份验证方法也足够了。
正如wikipedia所说:
[OAuth] specifies a process for resource owners to authorize third-party access to their server resources without sharing their credentials.
您可以使用 OAuth 做什么:让您的用户访问您的资源(您的 API),但您想让他们使用现有帐户(例如他们的 Github 帐户)。这样,用户不需要您的站点帐户,但他可以使用 Github 的授权工具针对您的 API 授权他的应用程序。
如果您不介意花几个小时学习 a bit OAuth,它将为您提供更大的灵活性。
我正在使用 Jersey 2 构建网络爬虫(类似于 http://diffbot.com | SAAS)。 其他开发人员应该能够以安全的方式使用此 API(发出请求 -> 获得 JSON 响应)。
流程如下:
A 用户访问应用程序网站 (register/login)。
在 login/registration 之后,他应该会看到带有 API_KEY 和 API_SECRET 的面板。
他现在可以使用此 API_SECRET 访问 API,从而访问爬虫。
Ouath 适合吗?有 better/simpler 解决方案吗?
我假设您想为您的用户提供注册可以使用您的 API 的应用程序的可能性。
我会说对于您的用例,您不一定需要 OAuth。像基本身份验证(使用 SSL)这样的简单身份验证方法也足够了。
正如wikipedia所说:
[OAuth] specifies a process for resource owners to authorize third-party access to their server resources without sharing their credentials.
您可以使用 OAuth 做什么:让您的用户访问您的资源(您的 API),但您想让他们使用现有帐户(例如他们的 Github 帐户)。这样,用户不需要您的站点帐户,但他可以使用 Github 的授权工具针对您的 API 授权他的应用程序。
如果您不介意花几个小时学习 a bit OAuth,它将为您提供更大的灵活性。