Аутентификация и авторизация для RESTfull API (Java jersery)

Question

Аутентификация и авторизация для RESTfull API (Java jersery)

реализация службы что-то подобное с tinyurl или бит.ly, я хотел бы выставить сервис как API, я использую java и jersey в качестве реализации RESTfull service.

Я ищу самый простой способ аутентификации пользователей, которые используют API, OAuth-это первое, что приходит в голову, но проблема в том, что мне не нужны эти 3 итерационных вызова с запросом токена запроса, чем запрос токена доступа с передачей url обратного вызова. Мне просто нужно дать пользователю возможность вызывать api без дополнительные вызовы безопасности на мой сервер.

6

java jersey oauth rest security

автор: abovesun

2 ответов

автор: abovesun · Accepted Answer · 2010-05-09 18:34:57

благодаря комментарию patrickmcgraw я использовал 2-legged OAuth authentificaton. Вот некоторый код java.

для стороны клиента (используя Джерси api):

OAuthParameters params = new OAuthParameters().signatureMethod("HMAC-SHA1").
    consumerKey("consumerKey").version("1.1");

OAuthSecrets secrets = new OAuthSecrets().consumerSecret("secretKey");
OAuthClientFilter filter = new OAuthClientFilter(client().getProviders(), params, secrets);


WebResource webResource = resource();
webResource.addFilter(filter);

String responseMsg = webResource.path("oauth").get(String.class);

на стороне провайдера:

@Path("oauth")
public class OAuthService {
    @GET
    @Produces("text/html")
    public String secretService(@Context HttpContext httpContext) {
        OAuthServerRequest request = new OAuthServerRequest(httpContext.getRequest());

        OAuthParameters params = new OAuthParameters();
        params.readRequest(request);
        OAuthSecrets secrets = new OAuthSecrets().consumerSecret("secretKey");

        try {
            if(!OAuthSignature.verify(request, params, secrets)) 
                return "false";
        } catch (OAuthSignatureException ose) {
            return "false";
        }

        return "OK";
    }
}

вот код для PHP клиента:

<?php 

require_once 'oauth.php';

$key = 'consumerKey';
$secret = 'secretKey';
$consumer = new OAuthConsumer($key, $secret);

$api_endpoint = 'http://localhost:9998/oauth';
$sig_method = new OAuthSignatureMethod_HMAC_SHA1;

$parameters = null;
$req = OAuthRequest::from_consumer_and_token($consumer, null, "GET", $api_endpoint, $parameters);
$sig_method = new OAuthSignatureMethod_HMAC_SHA1();
$req->sign_request($sig_method, $consumer, null);//note: double entry of token

//get data using signed url
$ch = curl_init($req->to_url());
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$res = curl_exec($ch);

echo $res;
curl_close($ch);

автор: fasseg · Accepted Answer · 2010-05-08 22:33:08

Если вы используете HTTP на транспортном уровне, вы всегда можете использовать базовая http-аутентификация