Rest-Schnittstelle Sicherheit ohne Benutzerverwaltung

bkb

Grünschnabel
Ich hoffe ich poste es im richtigen Subforum. Das Szenario ist das folgende:
Ich habe einen JBoss Server mit einer Rest-Schnittstelle zur Abfrage von allgemeinen Informationen aber auch von persönlichen Informationen. Die Abfrage der persönlichen Informationen sollen nur für die zugehörigen Benutzer möglich sein und findet über eine App statt. Eine Weboberfläche wird (bis jetzt) nicht zur Verfügung stehen.
Das Problem ist, das keine eigene Benutzerverwaltung implementiert werden soll.
Daher mein aktueller Lösungsansatz:
OpenId zur Authentifizierung nutzen und dann einen eigenen "Security Token" erzeugen, der bei jeder Rest-Anfrage mitgesendet werden muss.

Gibt es dazu noch alternativen? Kann OpenId dies vielleicht schon und ich habe es übersehen?

Meine Recherchen ergaben:
Basic Authentication: fällt raus, da ich keinen Benutzername/Passwort habe
OAuth: ist für ein anderes Szenario gedacht. Ich nutze als Service Provider nicht meine Rest-Schnittstellen sondern die von z.B. google. Falls mein System OAuth anbietet, müsste wiederum eine Benutzerverwaltung aufgebaut werden.
Zertifikate: ist ein wenig übertrieben für die Datensätze (glaub ich)
weitere Ansätze?

Danke!

Update:
Ich habe schon ein Problem bei der OpenId Authentifizierung.
https://www.dropbox.com/s/hmbcn7gmoo2lonf/process.png
Wie kann der letzte Schritt durchgeführt werden?
Das Backend verfügt über die Informationen ob das Einloggen des Benutzers erfolgreich war oder nicht. Wie kann dies der App mitgeteilt werden?
 
Zuletzt bearbeitet: