使用 OAuth 保护我的 REST API，同时仍然允许通过第三方 OAuth 提供程序进行身份验证（使用 DotNetOpenAuth）

首先我想强调一下身份验证和授权之间的区别：

用户通过提供一些凭据（例如用户名+密码）来对您的网站进行身份验证。 OpenID 允许通过让用户对另一个服务进行身份验证来取代这一点，然后该服务代表用户向您的网站声明用户的身份。您的站点信任第三方服务（OpenID 提供者），因此认为用户已登录。

服务或应用程序不会对您的网站进行身份验证——至少通常不会。用户授权服务或应用程序访问用户的数据。这通常由应用程序请求服务提供者的授权来完成，然后将用户发送到服务提供者，在那里用户首先进行身份验证（因此服务提供者知道它与谁交谈），然后用户对站点说“是的， [应用程序] 可以 [以某种受限方式] 访问我的数据”。从那时起，应用程序使用授权令牌访问服务提供商站点上的用户数据。请注意，应用程序不会像用户一样对自己进行身份验证，而是使用另一个代码向服务保证它有权访问特定用户的数据。

因此，在明确了这种区别后，您可以在您的网站上完全独立地做出有关身份验证和授权的决定。例如，如果您希望您的用户能够使用以下所有内容登录：用户名+密码、OpenID 和 Facebook，您可以这样做。一个完全正交的决定是您如何授权应用程序（您可以使用许多协议，OAuth 当然非常流行）。

OpenID 专注于用户身份验证。 OAuth 专注于应用程序授权。但是，Facebook 和 Twitter 等少数服务选择使用 OAuth 进行身份验证和授权，而不是使用 OpenID 进行身份验证和 OAuth 进行授权。

现在，对于您自己的项目，我强烈建议您查看 VS 库中提供的 ASP.NET MVC 2 OpenID web site (C#) 项目模板。开箱即用，它带有 OpenID 身份验证和 OAuth 服务提供商支持。这意味着您的用户可以使用 OpenID 登录，并且第 3 方应用程序和服务可以使用 OAuth 对您的网站进行 API 调用并访问用户数据。

听起来您一旦开始就想添加到此项目模板中，您的用户能够使用用户名+密码以及 OpenID 登录。此外，如果您希望 Facebook 和 Twitter 成为您的用户的一个选项，那么您也必须实现它，因为它们不使用 OpenID 标准。但是 DotNetOpenAuth 下载包含使用 Twitter 和 Facebook 登录的示例，因此您可以在那里获得一些指导。

我怀疑你在授权方面不会有太多事情要做。正如我之前所说，它带有 OAuth，这对你来说可能就足够了。

---

首先。您需要在精神上将您的 API 与身份验证方法区分开来。

您的 API 基本上是资源，以及操作这些资源的方法。您可以使用多种方法来验证对 API 的访问。

OAuth 就是这样一种身份验证机制。成为 OAuth 提供者很棒，尽管规范有点难以掌握，尤其是与签名有关的部分。一旦你有了 OAuth，客户端应用程序通常很容易进行身份验证，因为大多数语言都有很多“开源，已经完成，只需实现”库。

OAuth 的优缺点已经争论了一段时间。但要形成您自己的观点，我建议您阅读 this definitive guide, written by Eran Hammer-Lahav，他是负责 OAuth 规范的人之一。

据我所知，OAuth 的唯一真正替代方案是 OAuth 2.0 和简单的基本身份验证。

除此之外，您正在谈论使用 Open-ID 或 facebook 身份等进行身份验证。这是您需要问自己的另一个问题。但它确实超出了 API 和 OAuth 的范围。对我来说，这更像是在您的服务中创建用户的问题。我可能错了。

---