OAuth流通過phonegap和服務器端驗證用戶

Question

我已經看到phonegap身份驗證和基於JS的服務器應用程序驗證。 我正在嘗試爲我的J2EE電子商務應用程序構建一個phonegap應用程序。 J2EE應用程序爲我的phonegap應用程序提供了基於rest的api。我想使用OAuth身份驗證，以便在移動屏幕上提示用戶進行身份驗證，這是如何實現的？

我有通過JS的oauth認證的知識，但問題是如何確保J2EE應用獲得適當的認證用戶請求。

Answer 1

你可以在你的webapp中使用Stormpath的Servlet Plugin。這爲您實現JS客戶端+ OAuth令牌認證流程爲documented here。

當JS客戶端獲取返回的令牌時，它也會在僅HTTPS（安全，僅限http）cookie中返回。未來對您的應用程序的所有請求都會保留該令牌併發送它 - 服務器插件知道如何查看令牌，驗證數字簽名以及將用戶帳戶身份「綁定」到請求。

這使您可以使用服務器端會話（無服務器端狀態=高可伸縮性）安全地識別哪個用戶正在發出給定請求而不使用。只要您從登錄中使用HTTPS直到用戶註銷，您就可以信任該身份。