Я собираюсь создать веб-службу REST-ful для нового общедоступного веб-сайта. Идея веб-службы заключается в том, чтобы сторонние разработчики разработали полнофункциональные пользовательские интерфейсы для бизнес-логики.
По соображениям безопасности я бы хотел, чтобы пользователи не предоставляли свои пароли для наших услуг сторонним приложениям. (Возможно, это не должно быть большой проблемой?) Вместо этого я ищу для внедрения на нашем сайте какую-то систему входа в систему, которая предоставляет токен аутентификации стороннему приложению, но сохраняет фактический пароль из своих рук.
Это заставило меня подумать, что OpenID может быть потенциальным решением здесь. Мне кажется, что он должен работать: фактический пароль обрабатывается провайдером OpenID и поэтому не поддерживается сторонним приложением. Я думаю, что проблема, вероятно, будет связана с различными проходами, но это должно быть управляемо.
Тем не менее, неожиданное отсутствие информации о Googleable по этому поводу, поэтому я бы хотел, чтобы мнение SO. Кто-нибудь реализовал подобную систему раньше? Возможно ли это? Это стоит того?