REST 인증을위한 기계

Question

여러 하위 도메인 (accounts.site.com, training.site.com 등)에서 여러 RESTful 웹 서비스가 실행되는 경우 한 서비스가 다른 서비스를 사용해야 할 때 좋은 인증 메커니즘은 무엇입니까?

사람 인증은 로그인 자격 증명을 제공하고 JSON 웹 토큰을 가져와 인증 한 모든 요청과 함께 보내지기 때문에 쉽습니다.

사용자 이름과 암호가있는 컴퓨터가 이상하게 보이므로이 문제를 해결하는 데 입증 된 방법이 무엇인지 궁금합니다.

Answer 1

서비스의 관점에서 볼 때 다른 서비스는 REST 클라이언트에 불과하므로이 용어를 사용하도록하겠습니다.

• REST 클라이언트에서 다른 사용자 계정에 액세스하려면 서비스로 클라이언트를 등록해야하며 API 키를 받게됩니다. 사용자는 API 키에 권한을 부여 할 수 있으므로 허용하는 경우 서비스 사용자의 이름으로 작업을 수행 할 수 있습니다.
• 한편 고객이 자체 계정에만 액세스하려는 경우 서비스의 일반 사용자 일 뿐이며 다른 사용자와 마찬가지로 사용자 이름과 비밀번호를 가질 수 있습니다.