我有一个 REST API,可以从移动客户端和 Web 应用程序访问。我想为此使用 oAuth。不一定是资源共享方面(现在只适用于我们的应用程序),而是因为它提供了如何标记和签署请求的标准。
我的问题:
- 这是对 oAuth 的合理使用吗?
- 这里有很多帖子讨论必须在移动设备上存储客户端机密的问题,但在这种情况下,这真的是一个问题,因为我也拥有该服务吗?
- 有什么理由给每个客户自己的秘密吗?这通常用于访问撤销,但同样,我控制服务并且可以禁用他们的用户帐户。
问问题
127 次