<div dir="ltr">Привет.<div>Если третьим лицам ничего делегировать не нужно. Используй подписанные куки, это надёжный, простой и удобный механизм.</div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-09-21 21:53 GMT+07:00 Alexey Shrub <span dir="ltr"><<a href="mailto:worldmind@mail.ru" target="_blank">worldmind@mail.ru</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Всем привет,<br>
<br>
вопрос не столько про перл, но думаю допустимый, нужно мне сделать REST сервис (кстати думаю попробовать <a href="https://metacpan.org/pod/Mojolicious::Plugin::OpenAPI" rel="noreferrer" target="_blank">https://metacpan.org/pod/Mojol<wbr>icious::Plugin::OpenAPI</a>) и что-то у меня нет ощущения уверенности в вопросе аутентификации.<br>
API должно быть универсальным, а значит с ним должно быть удобно работать и с мобильных устройств (из приложений), и из браузера (джаваскриптом) и с серверов клиентов, тестирование curl'ом тоже должно быть удобным.<br>
Прочитал несколько статей, но сильно яснее не стало, пока кажется что обычные клиентские куки (подписанные или зашифрованные, полученные в обмен на имя юзера и хешированный пароль) это оптимальный вариант.<br>
Однако во всяких статьях часто упоминают про OAuth, пока не пойму будет ли с него польза если нет необходимости показывать данные третьим лицам. Вроде в OAuth 2 есть функционал аналогичный кукам, но имеет ли смысл непонятно, да и неясно что в перле с поддержкой серверного OAuth 2, вроде есть <a href="https://metacpan.org/pod/OAuth::Lite2" rel="noreferrer" target="_blank">https://metacpan.org/pod/OAuth<wbr>::Lite2</a> но какой в нём уровень поддержки не написано, может кто юзал?<br>
<br>
Другие варианты мне кажутся менее подходящими:<br>
- Digest authentication - знаю что она более правильная чем Basic auth, но не юзал, как понимаю она, как и basic auth, реализуется на уровне веб-сервера, что делает менее удобным управление юзерами - надо из базы в какой-то файлик переносить<br>
- клиентские сертификаты это круто, но немного сложно для клиентов<br>
<br>
Может у кого есть опыт в этом вопросе, основанные на этом опыте убеждения и готовность ими поделится?<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
Moscow.pm mailing list<br>
<a href="mailto:moscow-pm@pm.org" target="_blank">moscow-pm@pm.org</a> | <a href="http://moscow.pm.org" rel="noreferrer" target="_blank">http://moscow.pm.org</a><br>
</font></span></blockquote></div><br></div>