Welche technischen Details sollten Programmierer bei der Entwicklung ihres eigenen oAuth-Dienstes berücksichtigen?
Ich habe versucht, Richtlinien herauszufinden, habe jedoch festgestellt, dass die meisten oAuth
verwandten Artikel aus Verbrauchersicht diskutiert werden ( dh wie andere Dienste konsumiert werden ). Ich möchte mein eigenes oAuth
System mit meinem Autorisierungsdienst und Ressourcendienst entwerfen . Welchen technischen Details sollte ich folgen?
service
oauth
architecture
system-design
Sazzad Hissain Khan
quelle
quelle
Antworten:
Sie haben wahrscheinlich die RFCs gelesen, aber falls Sie dies nicht getan haben, sind sie der Ort, an dem Sie beginnen möchten:
Die beste "verpackte" Anleitung für oAuth-Implementierer (Client oder anderweitig) ist über IETF Best Current Practices (BCPs) verfügbar. Die meisten Menschen kennen IETF-RFCs und (verwirrenderweise) BCPs werden als RFCs mit einer RFC-Nummer veröffentlicht. Trotzdem handelt es sich um Best Practices und nicht um formale Spezifikationen :
BCPs, die Sie überprüfen möchten:
Diese Dokumente sind in Form von Bedrohungsmodellen gerahmt - sie decken Angriffe (oder "Sicherheitsaspekte" als verwässertes Format) und Gegenmaßnahmen ab. Möglicherweise suchen Sie nach einer einfacheren Art von Roadmap für Bausteine, und vielleicht sollte es eine als Lehrmittel geben. Reale oAuth-Implementierungen müssen mit Anscheinsbeweisen für ein Bedrohungsmodell entwickelt werden.
Wie ein Samurai sagte : ... Schwertkunst, die im Kampf nicht getestet wurde, ist wie die Kunst, an Land zu schwimmen.
quelle
Es würde mich auch interessieren, warum Sie Ihre eigene Authentifizierungslösung entwickeln möchten.
Abgesehen davon gibt es ein Open-Source-Projekt, das genau das tut, was Sie verlangen - Identity Server . Sie können ihren Quellcode überprüfen oder ihn teilen und etwas darauf aufbauen.
Bitte überprüfen Sie auch die Antwort "identigral" in verschiedenen Dokumenten.
quelle