저는 Sinatra를 사용하여 RESTful JSON 데이터 API를 개발하고 HTML5/JS 앱에서 해당 데이터 API를 사용하도록했습니다. 분명히 데이터 API는 사용자 조가 API를 통해 자신의 물건에만 액세스 할 수 있도록 인증 양식을 필요로합니다. 내 자신의 인증을 굴릴 수 없으면 대신 Google/Facebook/Twitter에 의존하여 ID 제공 업체가 될 수 있습니다.단일 페이지 JS 앱용 REST API 보안?
나는 OAuth2를가 Omniauth을 사용하고 내가 그까지 기존의 웹 애플 리케이션을위한 충분히 쉽게,하지만 FB/트위터/구글을 사용하여 JSON API를 확보에 대해 이야기 할 때, 나의 이해가 고장을 연결할 수 있습니다으로 검토 한 이유는
- API가 실제로 OAuth2 흐름의 리디렉션을 수행하는 것이 아닙니다.
- 아이덴티티 프로 바이더의 콜백 데이터가 나오면 아마 HTML/JS 앱을 친 것입니다. 맞습니까?
타사 개발자에게 비 웹 메커니즘을 통한 API 액세스를 제공하려는 경우 더 큰 문제가 될 수 있습니다. OAuth2 리디렉션 흐름 비즈니스는 분명히 여기에서 작동하지 않습니다.
-
:
[ HTML/JS client ] --- [ JSON API ] [ FB/Twitter/Google ]
|
|
[ Developer ]
이 실제로 어떤 난 후 것은 이것은 단지 레일입니다 제외하고, 여기에 무엇 :
그래서 모든 나는이처럼 보이는 구조를 가질 것, 말
Sinatra에서 이것을 수행하기위한 지침이 있습니까? 몇 가지 구체적인 예를 사용하십시오.
수행 한 작업과 중단 한 작업을 기록하십시오. 단순히 Sso-devise-omniauh-provider를 Sinatra에 통합하는 방법을 묻는 것만으로는 충분하지 않습니다. – andih