단일 페이지 JS 앱용 REST API 보안?

Question

저는 Sinatra를 사용하여 RESTful JSON 데이터 API를 개발하고 HTML5/JS 앱에서 해당 데이터 API를 사용하도록했습니다. 분명히 데이터 API는 사용자 조가 API를 통해 자신의 물건에만 액세스 할 수 있도록 인증 양식을 필요로합니다. 내 자신의 인증을 굴릴 수 없으면 대신 Google/Facebook/Twitter에 의존하여 ID 제공 업체가 될 수 있습니다.

나는 OAuth2를가 Omniauth을 사용하고 내가 그까지 기존의 웹 애플 리케이션을위한 충분히 쉽게,하지만 FB/트위터/구글을 사용하여 JSON API를 확보에 대해 이야기 할 때, 나의 이해가 고장을 연결할 수 있습니다으로 검토 한 이유는

• API가 실제로 OAuth2 흐름의 리디렉션을 수행하는 것이 아닙니다.
• 아이덴티티 프로 바이더의 콜백 데이터가 나오면 아마 HTML/JS 앱을 친 것입니다. 맞습니까?

타사 개발자에게 비 웹 메커니즘을 통한 API 액세스를 제공하려는 경우 더 큰 문제가 될 수 있습니다. OAuth2 리디렉션 흐름 비즈니스는 분명히 여기에서 작동하지 않습니다.

:

[ HTML/JS client ] --- [ JSON API ]  [ FB/Twitter/Google ] 
          | 
          | 
         [ Developer ] 

이 실제로 어떤 난 후 것은 이것은 단지 레일입니다 제외하고, 여기에 무엇 :

그래서 모든 나는이처럼 보이는 구조를 가질 것, 말

• sso-devise-omniauth-provider

Sinatra에서 이것을 수행하기위한 지침이 있습니까? 몇 가지 구체적인 예를 사용하십시오.

Answer 1

글쎄, 당신은 구석에 자신을 그린 것처럼 보입니다. OAuth 인증의 한 가지 전제는 HTTP 클라이언트 (예 : 웹 브라우저)에서 OAuth 공급자를 인증하기 위해 조치를 취할 사용자가 있다는 것입니다. 비 웹 메커니즘을 통해 타사 개발자 API 액세스를 제공하려는 경우 해당 종류의 인증 흐름을 사용할 수 없습니다.

대화 형 웹 기반 인증 패턴을 적용 할 수없는 API 클라이언트를 인증하려면 API 키 패턴을 따라야합니다. 어떻게 든 API 키를 생성하고 공인 된 타사 개발자에게 넘길 필요가 있습니다. Twitter, Facebook 및 Google이 어떻게 작동하는지보십시오.