我对 OAuth 和 API 安全性很陌生。
我正在构建一个将由我自己的移动应用程序访问的 REST API。
我想通过 OAuth 授权和身份验证向其他开发人员公开 API,我将使用我自己的 OAuth 提供程序。
我自己的移动应用程序的身份验证策略是什么?毕竟,我不需要用户授权我的应用程序。我可以在默认情况下对自己的移动应用程序进行预授权的同时使用 OAuth 进行身份验证吗?
我可以使用 OAuth 对我的移动应用程序的用户进行身份验证,还是需要 OpenID 之类的东西?
问问题
4678 次
2 回答
0
如果您希望跳过用户授权步骤,我认为您不需要 oauth。但是,如果您决定使用 oauth,则可以将授权步骤屏蔽为登录对话框或为您的应用程序提供访问令牌。用户授权是 oauth 功能的重要组成部分,因此忽略它可能意味着您应该使用其他接口来访问用户信息。
于 2012-06-05T20:35:23.540 回答
0
Accessing my own oauth REST API- OAuth 与 REST apriori 无关:OAuth - 是授权协议,REST - 一种架构风格。
对于 OAuth - 使用 2.0 版 - 已经是 2012 年了。
What is the authentication strategy for my own mobile app?- 例如,对于 Android 上的移动应用程序,您可以使用在 GooglePlay 商店/GMAIL 中注册他的手机的用户帐户(然后从您的服务器端生成一次性密码)。如果有人不将它们提供给您的应用程序 - 进行显式身份验证。
现在可能只有计算器不使用显式身份验证 - 那么你为什么要不同呢?您可以将身份验证链接到 FB 或 Google 或任何其他 OAuth 提供程序 - 是什么让您创建合适的 OAuth 提供程序?
您可以同时使用 OAuth 和 OpenID 对用户进行身份验证。
于 2012-06-06T13:40:42.080 回答