如何将一个高效的OAuth2.0的服务器/供应商的工作？(How would an efficien

我可能需要实现我创造一个API的OAuth2.0的服务器。这个API将允许第三方来执行代表用户的操作。

OAuth2.0的有3次主通话。首先，有一个呼叫提示同意用户。这将返回一个code 。第二种情况是该code为交换access token 。最后， access token用于调用代表用户的API。

为了实现，我想第一个呼叫产生充当一个随机字符串code 。该code然后存储在数据库中的指针当前用户和随机HMAC Key ，然后随机数据返回给第三方的code 。

当第三方请求一个access token时，产生另一条随机数据，并与级联code 。此字符串使用签名的HMAC key步骤1，那么这个签名的串并签名返回与签名，形成access token 。

当API调用发生时， hmac key对应于所提供access_token被从数据库中检索。该签名access_token使用HMAC密钥验证。

用户可以通过简单地去除他们授权的HMAC密钥列表HMAC密钥撤销的第三方访问。此外，只是签约随机数据，我能避免存储的每一个每一个的access_token创建，而是保持HMAC键的短名单。

无论如何，这是我第一次尝试通过这一思想。令人惊讶的是大约高效地实现的OAuth2.0的服务器端的信息很少。我宁愿让信息尽可能少的在数据库中。签约随机数据再后来撤销HMAC关键的优势是，我没有存储每一个access token通过每一个授权调用生成。

思想需要！这里一定是一个更好的办法！

编辑：

我不是在寻找一个实现。谢谢尽管！另外，我认为这整个系统会跑过来HTTPS。此外，我说的是纯OAuth2.0的流量，我不谈论与签名和客户端密钥OAuth1.0。我问如何设计会以类似的方式工作，（例如）谷歌的OAuth2.0的流量工程的OAuth2.0的服务器背后的密码。

Answer 1:

我没有一个确切的答案，但让我们尝试把拼在一起 -

我），我也不太清楚，如果你需要保存在数据库中的授权码长。这是Facebook的说的话 -

对于OAuth授权代码，我们将只允许访问令牌交换一次授权码，并要求他们为一个访问令牌10分钟他们的创作中来交换新的安全限制。这是在使用OAuth 2.0规格线，从一开始就指出，“授权码必须是短暂的，单次使用”。欲了解更多信息，请查看我们的认证文件。

看到此链接， https://developers.facebook.com/roadmap/completed-changes/ （12月5日的变化）。

II）什么做你在做什么，直到第1步，保持数据库的授权码和HMAC密钥。 让我们10分钟（或任何你觉得是必要的）授权代码，然后删除授权码。

三）假设你有一个验证客户端凭据的单一登录服务。当客户端应用程序打令牌交换终结（AUTH代码访问令牌），你需要获取HMAC键和返回访问令牌。 为什么不加（一些随机数据+时间戳+的customerID /客户名称（或一些可以用来唯一标识用户）），并与密钥进行签名，并返回所有这些数据的访问令牌。
你可以想想也许使用一个新的HMAC密钥和新人换旧人。

四）当客户端的匹配使用令牌的API端点，让srvice内部调用获取从DB HMAC密钥和解密的访问令牌，并返回在客户的相关API一个CustomerIDExtractorService。 然后，独立的进程可以使用客户ID来获取数据。所以基本上，我请你登录/令牌生成/令牌信息提取过程中分离到一个单独的单元。

让我们尝试此地图谷歌怎么可以做这样的事情
i）您使用的应用程序，并登录到谷歌的Oauth。（让谷歌从一个黑盒子X处理登录）。
ii）以应用匹配令牌交换终结 - >服务内部检查代码是否有效。如果是，该服务结合了一些数据+ CustomerID和体征，并将其返回给应用程序作为访问令牌。
三）应用程序现在打（说）的谷歌+终点。在内部，所述服务传送该令牌黑匣子X，其解密该令牌并返回客户ID以G +服务。 G +则映射C_ID相关客户数据。

另一项建议

根据该应用程序所要求的范围，你可以添加到访问令牌的更多信息。也许创建JSON对象和添加/根据由该应用选择的范围中删除的字段。签署JSON字符串作为访问令牌。