Создайте REST WebService с GAE, используя OAuth

Question

Я собираюсь построить платформу сообщества с нуля. Сначала мы собираемся создать веб-сервисы, и у сообщества могут быть сторонние компоненты, поэтому в любом случае иметь надежные веб-сервисы - хорошая идея.

Поскольку служба не имеет состояния, нам требуется аутентификация для каждого отдельного вызова. Является ли хорошей идеей реализовать протокол OAuth для нашего поставщика услуг, чтобы выполнить эту задачу, хотя мы сейчас являемся единственным потребителем?

Кстати: перед запуском сайта мы доставим мобильное приложение.

Answer 1

Смысл OAuth в том, чтобы позволить другим веб-сайтам (потребителям) получить доступ к вашим данным (вы являетесь поставщиком).Поскольку вы являетесь единственным потребителем ваших данных, нет необходимости внедрять OAuth на данном этапе разработки.

Будьте стройны, постройте что-нибудь быстрое и ставьте это перед пользователями / тестерами.Только на этом этапе вы обнаружите реальные ошибки и получите отзыв об услуге, чтобы вы могли улучшить ее и направить развитие в правильном направлении.

Примечание: OAuth as предоставляемый App Engine (второй абзац) поддерживает только пользователей с учетными записями Google (даже если используется OpenID).

Answer 2

Исходя из моего опыта, я создал REST WS без учета аутентификации: методы jersey принимают все, затем есть несколько фильтров для проверки запросов. Я использовал аутентификацию OpenId для веб-части, OAuth и BASIC AUTHENTICATION (с SSL) для API.

Возможно, нет необходимости создавать все с самого начала, но не забывайте максимально отсоединять конечную точку REST от аутентификации: вы получите большую выгоду, когда захотите выпустить API.

Последняя «философская» вещь: OAuth не полностью лишен состояния, на самом деле у вас есть временный токен, который аутентифицирует пользователя, и он похож на сеанс в браузере!