16

我正在设计一个 RESTful API,它将始终通过 HTTPS 进行通信。在 HTTPS 上运行时是否有任何理由使用像 OAuth 这样的方案?我特别感兴趣的是,当整个通信被加密时,HMAC 签名的请求、随机数和时间戳等方面是否有用。

似乎任何通过 HTTPS 的身份验证方案都足够了,但我只是想获得第二意见。

4

1 回答 1

12

嗯,这就是 OAuth 2 背后的全部理论。您无需依赖 OAuth 1 的复杂签名机制,而是依赖传输层安全性并专注于难题的授权部分。HTTPS 协议不能解决授权问题,因此您仍然需要 OAuth 2。

于 2011-03-25T05:48:06.437 回答