我对OAuth和API安全性都很陌生。
我正在构建一个可由我自己的移动应用程序访问的REST API。
我想通过OAuth授权和身份验证向其他开发者公开API,我将使用自己的OAuth提供程序。
我自己的移动应用的身份验证策略是什么?毕竟,我不需要用户授权我的应用程序。我可以在默认情况下预先授权自己的移动应用程序时使用OAuth进行身份验证吗?
我可以使用OAuth对移动应用的用户进行身份验证,还是需要OpenID这样的内容?
答案 0 :(得分:0)
如果您想要跳过用户授权步骤,我认为您不想要oauth。但是,如果您决定使用oauth,则可以将授权步骤屏蔽为登录对话框,或者为应用程序提供访问令牌。用户授权是oauth功能的重要组成部分,因此忽略它可能意味着您应该使用其他界面来访问用户的信息。
答案 1 :(得分:0)
Accessing my own oauth REST API - OAuth没有处理REST apriori:OAuth - 是授权协议,REST - 一种架构风格。
对于OAuth - 使用版本2.0 - 它已经是2012年了。
What is the authentication strategy for my own mobile app? - 对于Android上的移动应用,例如,您可以使用可以获取用户的帐户,在GooglePlay商店/ GMAIL中注册其手机(然后从服务器端生成一次性密码) 。如果没有人将它们提供给您的应用程序 - 进行明确的身份验证。
现在可能只有计算器不使用显式身份验证 - 所以为什么你应该有所不同?您可以将身份验证链接到FB或Google或任何其他OAuth提供商 - 是什么让您创建适当的OAuth提供商?
您可以使用OAuth和OpenID对用户进行身份验证。