我正在创建一项服务,其中包括网站,移动应用和网络服务。
网站和移动应用程序都将与Web服务通信,以与数据库和任何其他后端项目进行交互。
我希望用户能够使用其他服务(例如google,facebook,twitter等)登录
我在实施这个问题上有两个问题:
1。)我应该使用OpenID还是OAuth?我不确定哪种情况更好。我无需实际访问用户帐户中的功能,我只是希望他们能够使用已有的帐户登录,
2.。)我应该在哪里实施身份验证?我是否必须在网站和移动应用程序上实现它,或者我可以同时与Web服务进行通信并在那里进行身份验证吗?
由于
答案 0 :(得分:0)
如果您只是在进行身份验证而不同步任何帐户详细信息,我认为OpenID是可行的方法。从安全角度来看,我会说要在网站和应用程序上实现您的身份验证,而不是在Web服务中。您希望尽可能少地处理凭据,尤其是避免在不使用SSL的情况下通过webservice发送凭据。