我的应用在域 example.com 上运行,但我从域 api.example.com 获取了一些数据。
示例:的
问题:
我想知道,我应该使用哪种安全措施来验证用户? OAuth的?或者我应该通过POST发送用户密码?谢谢。
答案 0 :(得分:1)
如果您在自己的网站上传递信息然后使用会话来存储用户数据,则不需要OAuth(用于验证不同网站之间的用户而不需要第三方的密码)。
答案 1 :(得分:0)
如果您的api.example.com打算被其他网站使用,您应该在api.example.com(http basic + ssl,http digest,oauth等)上拥有一个身份验证系统,该系统由示例使用.COM。
然后,example.com不应管理用户(创建,身份验证等),只能转发到api.example(可能使用会话来存储api.example.com用户凭据)。 但是如果这些首选项仅涉及example.com ,example.com应该管理用户首选项