Jak używać OpenID w RESTful API?

Spędziłem teraz trochę czasu na badaniu opcji i chciałbym podsumować wyniki. Po pierwsze, trochę więcej kontekstu -- rozwijam i kontroluję zarówno usługę, jak i klienta API. Consumer to aplikacja oparta na Flashu, która jest obsługiwana z tego samego hosta, z którego API jest teraz i ma być używana w przeglądarce. Żadnych klientów stron trzecich w zasięgu wzroku.

Więc pytanie można podzielić na dwie części,

• Jak zrobić uwierzytelnianie OpenID przez API
• Jak utrzymać stan "uwierzytelniony" w kolejnych żądaniach

W pierwszej części uwierzytelnianie OpenID prawie zawsze zawiera interaktywne kroki. Podczas procesu uwierzytelniania najprawdopodobniej nastąpi krok, w którym użytkownik będzie zalogowany na stronie dostawcy OpenID i naciśnie przycisk "Zgadzam się". API nie może i nie powinno tego robić w sposób przejrzysty (nie "powiedz mi swojego dostawcę OpenID i hasło, a ja zajmę się resztą"). Najlepsze, co może zrobić, to przekazać iz powrotem linki HTTP, które klient musi otworzyć i postępuj zgodnie z instrukcjami.

Utrzymanie stanu "uwierzytelnionego"

REST API powinny być bezpaństwowe, każde żądanie powinno zawierać wszystkie informacje potrzebne do jego obsługi, prawda? Uwierzytelnianie przed dostawcą OpenID nie miałoby sensu dla każdego żądania, więc niektóre sesje są konieczne. Niektóre z opcji przekazywania klucza sesji (lub" token dostępu " lub nazwa użytkownika/hasło) to:

• HTTPS + basic authentication ("autoryzacja: Podstawowe ..."nagłówek w każdym zapytaniu)
• Signing requests Amazon-style ("Authorization: AWS ... "nagłówek w każdym zapytaniu)
• OAuth: zdobądź Token dostępu, Dołącz to i kilka innych parametrów do każdego żądania
• plik cookie przechowujący klucz sesji ("Cookie:... "nagłówek w każdym zapytaniu)
• podpisany plik cookie, który przechowuje informacje o sesji w samym pliku cookie

Jest teraz tylko jeden konsument API, więc wybrałem najprostszą rzecz, która może zadziałać ... ciasteczka. Są bardzo łatwe w użyciu w pylonach, za pomocą zlewki . Są one również "po prostu działać" w aplikacji Flash - ponieważ działa w przeglądarce, przeglądarka będzie zawierać odpowiednie pliki cookie w żądaniach, które aplikacja Flash sprawia - aplikacja nie musi być zmieniana w ogóle w odniesieniu do tego. Oto jedno pytanie StackOverflow, które również zaleca używanie Plików cookie: RESTful authentication for web applications

Zlewka ma również ładną funkcję sesje tylko cookie gdzie wszystkie dane sesji są zawarte w samym pliku cookie. Myślę, że to jest tak bezpaństwowe, jak to tylko możliwe. Nie ma żadnego magazynu sesji na serwerze. Pliki cookie są podpisywane i opcjonalnie szyfrowane, aby uniknąć manipulowania nimi po stronie klienta. Wadą jest to, że cookie staje się nieco większy, ponieważ teraz musi przechowywać więcej niż tylko klucz sesji. Usuwając rzeczy, których nie potrzebowałem w sesji (resztki z uwierzytelniania OpenID) otrzymałem Rozmiar pliku cookie do około 200 bajtów.