标签: api rest authentication oauth
目前我们有一个REST API和一个客户端,客户端通过HTTPS对用户进行一次身份验证并接收访问令牌。然后,对于需要身份验证的每个请求,客户端从请求正文创建一个HMAC,其中包含URL和查询字符串以及服务器和客户端之间的共享密钥。是否有必要让我更进一步,并在我自己的客户端 - API之间实现OAuth?
答案 0 :(得分:0)
您似乎已经在OAuth(v1.0a)中执行身份验证。但是,我建议您在HMAC创建中包含时间戳和随机数,并在您的API中检查这些以防止重放攻击。