我们的本地搜索网站有一个API,用于我们的移动应用程序。
目前,
我希望保护通过API发送的数据。我做了一些研究,看起来像Oauth是要走的路
答案 0 :(得分:0)
Oauth最适合涉及第三方(提供商)的场景。例如:使用Facebook登录。
如果用户必须登录您的服务才能访问API,则可以使用基本身份验证。 (通过Https将凭证附加到Http标头)
最后:是的,你需要Https。如果您控制客户端和服务器,则自签名证书可以正常工作。例如,对于Android,您可以导入证书):
http://developer.android.com/training/articles/security-ssl.html(自签名服务器证书部分)
但是,如果您要创建Web客户端,则用户会收到不受信任站点的警告。