如何在RESTful API中使用OpenID？

我已经花了一些时间研究选项，并想总结一下我的发现。首先，为了更好地理解，让我简单介绍一下背景--我开发和控制着服务和API消费者。消费者是基于Flash的应用程序，从目前API所在的同一主机提供服务，并且应该在浏览器中使用。目前还没有第三方客户端。

因此，这个问题可以分为两个部分：

• 如何通过API进行OpenID身份验证
• 如何在后续请求中维护“已认证”状态

对于第一部分，OpenID身份验证几乎总是包括交互式步骤。在身份验证过程中，很可能会有一个步骤，用户需要进入OpenID提供商的网页，登录并按下某个“同意”按钮。因此，API不能且不应该在后台透明地处理此过程（没有“告诉我你的OpenID提供商和密码，我将为您完成其余工作”的功能）。它最好能做的就是传递HTTP链接，客户端必须打开并遵循其中的说明。

维护“已认证”状态

REST API应该是无状态的，每个请求都应包含处理它所需的所有信息，对吧？针对每个请求进行OpenID提供商身份验证毫无意义，因此需要某种类型的会话。一些通信会话密钥（或“访问令牌”或用户名/密码）的选项如下：

• HTTPS + BASIC身份验证（在每个请求中包含“Authorization：Basic…”头）
• 以亚马逊风格签署请求（在每个请求中包含“Authorization：AWS…”头）
• OAuth：获取访问令牌，将其及其他一些参数包含在每个请求中
• 存储会话密钥的Cookie（在每个请求中包含“Cookie：…”头）
• 在Cookie本身中存储会话信息的已签名Cookie

目前只有一个API消费者，所以我选择了最简单的方法--使用cookie。在Pylons中，借助Beaker，使用它们非常容易。在Flash应用程序中，“cookies”也可以“直接工作”，因为它在浏览器内运行，浏览器会将相关的cookie包含在Flash应用程序发出的请求中--该应用程序不需要在这方面进行任何更改。以下是一篇StackOverflow的问题，其中也推荐使用 cookies：RESTful authentication for web applications

Beaker还具有仅cookie会话的良好特性，其中所有会话数据都包含在cookie中。我猜这就是无状态的极致了。服务器上没有会话存储。Cookie被签名并可选地加密，以避免客户端篡改。缺点是cookie变得有点大，因为现在它需要存储除会话密钥以外的更多内容。通过删除会话中我实际上不需要的一些内容（来自OpenID身份验证的残留），我将cookie大小减少到约200个字节。

OAuth 是API使用的更好选择。以下是Python中使用OAuth的示例：oauth-python-twitter。Leah Culver的python-oauth库是Python中OAuth的标准实现，但python-oauth2是一个近期备受关注的竞争者。至于灵感，django-piston支持在为Django创建RESTful API时使用OAuth进行身份验证，尽管针对该特定主题的文档不够完善。