我正在建立一个营销服务,在这里我们为各公司提供小部件,以便在其网站上托管它。这些小部件应该直接从浏览器使用javascript获取和发布信息,以便在服务器中休息AP。最终用户可能需要也可能不需要授权,具体取决于他们访问的数据类型。我们需要使用流行的社交网络(如facebook,twitter等)对最终用户进行身份验证。实际上,我们的服务器端api需要验证两件事1.通话来自相应公司的网站2.通话由适当的终端进行用户。使用oAuth验证JavaScript小部件
我不确定我要在这里使用什么样的身份验证。我认为,我不能使用oauth(1.0,2.0),因为它需要消费者密钥和秘密,它们不能安全地存储在JavaScript中。有没有可以使用的任何修改的oauth流?有人已经解决了这个问题。如果我有人在服务器端有一个基于弹簧的解决方案将是更可取的。
我们做了同样的事情,与用户的实际身份验证方法无关;请参阅[REST身份验证和公开API密钥] (http://stackoverflow.com/questions/5472668/rest-authentication-and-exposing-the-api-key/13891103#13891103)。如果用户未通过身份验证,该解决方案不是100%安全的, h所有请求都可能被服务器端脚本伪造。但公共数据无论如何都可能从各自公司的网站上被刮掉。 (当然,虽然提供API的刮板使得他们的生活更容易...) – Arjan
*“最终用户可能需要或可能不需要授权”* - 授权或认证? – Arjan