2

我们有一个大型高流量网站,上面有很多数据(类似于 Kickstarter),我们希望为我们的内容/项目创建者提供一种通过 API 从我们的网站提取数据的方法。

有人建议我使用 OAuth,但是我使用 OAuth 的经验仅限于设置 twitter 数据源。

我想做的事

  • 为用户提供应用程序 ID 和“秘密”
  • 允许此用户通过 api 端点连接到我们的应用程序,使用 api ID 和密钥授权自己
  • 验证后,允许此用户仅从应用程序中提取他们的数据
  • 用户可以提取的数据:他们投的票、他们所做的承诺、他们所做的购买、他们启动的项目/想法、关于这些项目/想法的数据(投票/购买/订单/取消等)

我的问题是:

OAuth 是否矫枉过正?

是否有更好的方法来处理用户/用户网站以连接到我们的 API 并使用我们提供的 API 提取/验证某些数据,同时要求每个传入请求都为发起该请求的用户/站点授权。

理想情况下,我们将有一个可以通过以下方式访问的端点:

https://api.oursite.com/request/params

对于希望实现此接口的用户,我们希望它尽可能简单。谢谢你的帮助!

4

1 回答 1

1

通常它是 OAuth,结合 SSL。这是标准,很可能会继续存在。之前我们还看到登录:用户名 + 密码来访问 API,但这种情况越来越少。

所以建议的方式是OAuth。目前还没有其他严肃的解决方案。为了更容易采用您的 API,您可以使用某些开发语言发布一些类,以便开发人员可以快速入门。您可以开始在例如 GitHub 上发布这些类,以提高 API 的采用率并快速访问开发人员。如果你做得好,他们甚至可能开始改进它。

于 2013-01-13T12:07:18.733 回答