Comment authentifier service web restful en utilisant oAuth

Je veux faire de l'authentification dans le service web RESTful pour chaque demande. J'ai lu portée sur OAuth dans le site web.
Que dois-je stocker dans la base de données ou jeton de clé ou une clé d'accès besoin de vérifier avec la base de données? Je RESTE web service et application android pour appeler des web service. Donc, un service Web est servi en tant que Fournisseur de Services, UserLogin représente l'utilisateur et de l'application Android, en tant que Consommateur, comme les décrire dans Oauth site. Donc, si la demande de l'utilisateur à partir d'android comme 

OBTENIR /username/a.jpg HTTP/1.1 
Host: localhost:8080 
Autorisation: OAuth realm="http://localhost/username/a.jpg", 
oauth_consumer_key="dpf43f3p2l4k3l03", 
oauth_token="nnch734d00sl2jdk", 
oauth_nonce="kllo9940pd9333jh", 
oauth_timestamp="1191242096", 
oauth_signature_method="HMAC-SHA1", 
oauth_version="1.0", 
oauth_signature="tR3%2BTy81lMeYAr%2FFid0kMTYa%2FWM%3D"

Mais depuis le côté serveur qui est service web comment vérifier avec la base de données, ou la touche à utiliser pour vérifier? est-ce la signature?

  • Envisagez-vous de faire le plein d'authentification pour chaque demande, ou à l'aide d'OAuth pour configurer une session qui sera utilisé entre les demandes (dans le cadre d'une application, bien sûr)? C'est important parce que OAuth est assez cher et le RESTE a tendance à exiger beaucoup de demandes. Otoh, que, auth, conformément à la demande rend plus simple pour obtenir des clients et supprime un certain nombre d'attaque de routes; c'est une question d'équilibrer les choses...
InformationsquelleAutor sudo | 2011-05-19
  1. 4

    Lire sur http://oauth.net/core/1.0/ .. plus précisément à l'Annexe A. 2 à A. 4.
    Il décrit la "poignée de main" qui a lieu quand un service ne parvient pas à obtenir l'accès, puis redirige l'utilisateur pour l'authentification de site web, puis est retourné à l'url de callback.

    Comme vous l'avez demandé, dans A. 4, oui, le service examine ensuite la signature et répond avec un jeton d'accès.

    InformationsquelleAutor Lynn Crumbling