0

我正在创建一个包含网站、移动应用程序和 Web 服务的服务。

网站和移动应用程序都将与 Web 服务对话,以与数据库和任何其他后端项目进行交互。

我希望用户能够使用其他服务(如 google、facebook、twitter 等)登录

在实现这一点时我有两个问题:

1.) 我应该使用 OpenID 还是 OAuth?我不确定哪个更适合这种情况。我不需要从用户帐户实际访问功能,我只希望他们能够使用他们已经拥有的帐户登录,

2.) 我应该在哪里实施身份验证?我是否必须在网站和移动应用程序上都实现它,或者我可以同时与 Web 服务对话并在那里进行身份验证?

谢谢

4

1 回答 1

0

如果您只是进行身份验证而不同步任何帐户详细信息,我认为 OpenID 是要走的路。从安全的角度来看,我想说的是在网站和应用程序上而不是在 Web 服务中实现您的身份验证。您希望尽可能少地处理凭据,尤其是在不使用 SSL 的情况下避免通过 web 服务发送凭据。

于 2013-03-04T20:10:20.930 回答