Аутентификация и авторизация для RESTfull API (Java jersery)
реализация службы что-то подобное с tinyurl или бит.ly, я хотел бы выставить сервис как API, я использую java и jersey в качестве реализации RESTfull service.
Я ищу самый простой способ аутентификации пользователей, которые используют API, OAuth-это первое, что приходит в голову, но проблема в том, что мне не нужны эти 3 итерационных вызова с запросом токена запроса, чем запрос токена доступа с передачей url обратного вызова. Мне просто нужно дать пользователю возможность вызывать api без дополнительные вызовы безопасности на мой сервер.
2 ответов
благодаря комментарию patrickmcgraw я использовал 2-legged OAuth authentificaton. Вот некоторый код java.
для стороны клиента (используя Джерси api):
OAuthParameters params = new OAuthParameters().signatureMethod("HMAC-SHA1").
consumerKey("consumerKey").version("1.1");
OAuthSecrets secrets = new OAuthSecrets().consumerSecret("secretKey");
OAuthClientFilter filter = new OAuthClientFilter(client().getProviders(), params, secrets);
WebResource webResource = resource();
webResource.addFilter(filter);
String responseMsg = webResource.path("oauth").get(String.class);
на стороне провайдера:
@Path("oauth")
public class OAuthService {
@GET
@Produces("text/html")
public String secretService(@Context HttpContext httpContext) {
OAuthServerRequest request = new OAuthServerRequest(httpContext.getRequest());
OAuthParameters params = new OAuthParameters();
params.readRequest(request);
OAuthSecrets secrets = new OAuthSecrets().consumerSecret("secretKey");
try {
if(!OAuthSignature.verify(request, params, secrets))
return "false";
} catch (OAuthSignatureException ose) {
return "false";
}
return "OK";
}
}
вот код для PHP клиента:
<?php
require_once 'oauth.php';
$key = 'consumerKey';
$secret = 'secretKey';
$consumer = new OAuthConsumer($key, $secret);
$api_endpoint = 'http://localhost:9998/oauth';
$sig_method = new OAuthSignatureMethod_HMAC_SHA1;
$parameters = null;
$req = OAuthRequest::from_consumer_and_token($consumer, null, "GET", $api_endpoint, $parameters);
$sig_method = new OAuthSignatureMethod_HMAC_SHA1();
$req->sign_request($sig_method, $consumer, null);//note: double entry of token
//get data using signed url
$ch = curl_init($req->to_url());
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$res = curl_exec($ch);
echo $res;
curl_close($ch);
Если вы используете HTTP на транспортном уровне, вы всегда можете использовать базовая http-аутентификация