我目前正在开发一个web应用程序,它现在由一个前端组成,该前端使用我们编写的REST API显示数据并与之交互。唯一会使用API的是我们的前端网站,以及我们将开发的移动应用程序。
我读了很多关于OAuth是如何保护应用程序接口的理想机制的文章,在这一点上,我开始对它的工作原理有了很好的理解。
我的问题是--既然我从来没有授权第三方客户端访问我的应用程序接口,那么OAuth真的是必要的吗?有什么理由它是有利的吗?此外,因为后端只是API,所以没有供用户进行身份验证的网关(例如,如果您正在使用Twitter API编写应用程序,当用户进行身份验证时,他们将被定向到Twitter页面以授予访问权限,然后被重定向回客户端)。
我真的不确定该往哪个方向走。似乎在http身份验证和OAuth之间必须有一种适合这种情况的方法,但我就是不明白。
发布于 2012-02-15 00:28:55
两条腿的OAuth可能是你想要使用的。它基本上是散列一个共享密钥,但您有一个优势,那就是不必自己编写代码。
这里有一个相关的问题:Two-legged OAuth - looking for information
https://stackoverflow.com/questions/9280269
复制相似问题