服务到服务认证、服务身份和访问权限管理

Question

我目前正在使用 Ruby、Ruby on Rails、Sinatra 和纯 Rack Web 服务开发分布式应用程序。

我将有很少的服务（RESTful，不是基于 SOAP）使用 JSON 进行通信，并且我需要一种方法来在这些服务之间的通信过程中保护和验证每个服务的身份，因此没有人可以假装是服务并且向其他服务提出请求。

核心思想是将其他服务视为“用户”，并能够验证其身份并在必要时限制其对数据的访问。

所以问题是如何仅使用 Ruby 来做到这一点以及如何有效管理服务身份及其访问权限。

我应该构建一些可供服务使用的附加身份验证服务吗？

我应该构建内部 gems 来提供一些带有密钥/共享秘密的连接中间件吗？

是否还有其他方法可以做到这一点？

Answer 1

我将生成一个应用程序 ID 和秘密，您可以在每个请求中传递它们。由于您不与其他用户打交道，而只是与应用程序打交道，因此请尝试使用设备来查找身份验证令牌。

Answer 2

我认为 OAuth 是一种常用于 Web 服务到 Web 服务运行时身份验证的协议，尤其是使用 RESTful API 时。