我正在使用RESTful API将服务器端Web应用程序转换为单页JavaScript应用程序。目前。用户可以使用Facebook,Twitter,Google等或通过电子邮件和密码进行身份验证。如何允许在RESTful API上运行相同形式的身份验证?我猜它看起来像这样:
我是在正确的轨道上吗?如果是这样:
您可以更轻松地对服务器端的身份提供程序而不是客户端处理身份验证过程。 因此,您的REST服务器应该支持它自己的身份验证方法(也可以是基于OAuth的),并将其传输给第三方提供商。所以流程看起来像这样:
从客户端(JS)启动登录过程 - 调用REST auth端点,指定要登录的网络(例如myserver.com/login?provider=facebook)。
处理服务器端的登录过程 - 重定向到提供者登录端点,接收登录回调,处理响应(获取facebook会话令牌等)。
发出您自己的用户会话(如果您正在执行OAuth,则发出令牌),并回复您的JS客户端。
有几个社交登录库可以帮助您,检查 http://hybridauth.sourceforge.net/ 用于PHP或 http://code.google.com/p/socialauth/ 对于Java。
还有一些商业解决方案可以让您的生活更轻松(我正在努力 的Gigya 所以我有偏见),但这只是在你有预算的情况下。
您可以更轻松地对服务器端的身份提供程序而不是客户端处理身份验证过程。 因此,您的REST服务器应该支持它自己的身份验证方法(也可以是基于OAuth的),并将其传输给第三方提供商。所以流程看起来像这样:
从客户端(JS)启动登录过程 - 调用REST auth端点,指定要登录的网络(例如myserver.com/login?provider=facebook)。
处理服务器端的登录过程 - 重定向到提供者登录端点,接收登录回调,处理响应(获取facebook会话令牌等)。
发出您自己的用户会话(如果您正在执行OAuth,则发出令牌),并回复您的JS客户端。
有几个社交登录库可以帮助您,检查 http://hybridauth.sourceforge.net/ 用于PHP或 http://code.google.com/p/socialauth/ 对于Java。
还有一些商业解决方案可以让您的生活更轻松(我正在努力 的Gigya 所以我有偏见),但这只是在你有预算的情况下。
我建议您专门为您的API生成API访问密钥或使用单独的OAuth流程。从概念上讲,您需要将创建帐户的行为与您的服务分开,并连接远程帐户。你可能会把你所描述的内容拉下来,但这会令人困惑。
为了使客户端更容易使用OAuth,请查看 oauth.io