我看到 OAuth2 被视为下一个身份验证方案。上下文一直允许第三方客户端在不放弃用户名/密码的情况下进行身份验证。
如果我有一个不用于第三方访问的 API,那么唯一的用户将是通过我提供的移动客户端的最终用户吗?在这种情况下 OAuth2 是否仍然合适,或者我可以通过使用更流行的现有方案之一来获得,例如 HTTP AUTH?
问问题
395 次
1 回答
0
如果你愿意,你可以做这种事情,它通常被称为“两条腿的 Oauth”。Oauth 是一个相当复杂的协议。它需要,因为它正在做一些非常复杂的事情。
无论如何,我们在工作中使用两条腿的 Oauth 来处理一些事情,这使事情变得非常复杂。我们使用它的方式,它最终只是一个更复杂的 HTTP 基本身份验证版本,但没有任何真正的好处。两条腿的 oauth 有一些有效的用例,但我认为替换 Basic Auth 不应该是其中之一。http://sites.google.com/site/oauthgoog/2leggedoauth/2opensocialrestapi是一个很好的例子,说明了为什么你可能想要使用两条腿的 Oauth,还有一些分散在网络上。
我建议远离它,除非你能想出一个好的、具体的理由来使用它。不要仅仅因为它很时髦而使用它。
于 2011-02-24T23:10:03.350 回答