Авторизация в одностраничных приложениях. WSSE, токены или OAuth?

Question

[Сергей Протько]

Собственно пишу сейчас один свой проектик, и, так как он мой, хочется сделать что-то правильно. В основном схема авторизации на проектах которые я видел была следующей:

при авторизации пользователю задается бессрочный токен, который будет уничтожен только после его выхода. По сути время жизни токена не ограничено. Токен хранится в базе.

Есть еще WSSE с его авторизацией через зашифрованный ключ, есть еще куча способов и есть OAuth.

Так же авторизация может проходить через аккаунты популярных соц сетей, то бишь через тот же OAuth по сути.

С WSSE по сути все просто, но я так понял что оно подразумевает ограниченную жизнь сессии. Да, это можно обойти но вроде как это не кошерно.

Так же в будущем апи будут использовать мобильные клиенты.


Вот собственно и встал вопрос с выбором метода авторизации, при котором трудозатраты будут наименьши.


Серверная часть базируется на Symfony, клиент на AngularJS.

Answer 1

[Назар Мокринский]

Я бы порекомендовал OAuth2, есть нормальный стандарт, при необходимости можно расширить дополнительной функциональностью.
Бессрочный токен — как-то не очень красиво получается если токен только один и бессрочный. В том же OAuth2 тоже есть токены, но они ограничены во времени, хотя и могут продлеваться.
WSSE не использовал, сравнить не могу.

Answer 2

[Вячеслав Слинько]

при котором трудозатраты будут наименьши

> POST /sessions
> {"username": "test", "password": "mest"}
< 201
< {"token": "hashhashhashhashhashhashhashhashhash"}
> POST /some-resources
> Authorization Token hashhashhashhashhashhashhashhashhash
< 200
< []

Comments

[Вячеслав Слинько]

> POST /some-resources
< 401
> POST /some-resources
> Authorization Token unknownunknownunknown
< 401
> POST /resources-closed-for-that-user
> Authorization Token hashhashhashhashhashhashhashhashhash
< 403

[Сергей Протько]

Да, этот способ я использую обычно.

[Вячеслав Слинько]

Вполне себе живой способ.
Не вижу большого смысла накручивать сложности в виде oauth или wsse.
Так сказать KISS.

[stnw]

Не совсем понял, а где здесь защита от перехвата токена?
Что мне мешает перехватить его?

[Вячеслав Слинько]

Если вы находитесь посередине, то вам ничего не мешает перехватить oauth и wsse.
От этого может хоть как-то спасти HTTPS.

[Вячеслав Слинько]

Если вы воруете у клиента, то это равнозначно воровству куков.
От этого тоже защита известна.

Answer 3

[rkit]

Сергей, а что в итоге выбрали?

Comments

[Сергей Протько]

Старая добрав авторизация по токенам и OAuth2 там где появляется необходимость в SOA.