我正在为Android和Android开发Spring REST应用程序iOS客户端。还有一个Web客户端。我可以使用spring security来实现web客户端。但对于Android和ios应用程序,我还应该使用Spring安全吗?或者更好地实施OAuth?由于我不允许我的API访问第三方,是否真的值得实施OAuth? cz我自己开发Android& iOS客户端。
答案 0 :(得分:1)
OAuth的主要目的是使客户端能够代表第三方访问资源,而不会向客户端透露第三方凭据。在您的情况下,您可以完全控制客户端(Android / Web / iOS)和资源端(Spring REST应用程序)的用户,因此您无法从OAuth背后的主要概念中受益。
除非您有阻止您在客户端存储密码的要求,或者除非您计划将API的使用扩展到不应该能够获取用户凭据的其他应用程序,否则您将没事使用SSL / TLS +例如HTTP-Basic身份验证并将节省的时间用于使应用程序本身更好。
当然,您必须确保永远不会通过未加密的频道发送凭据,但这同样适用于OAuth承载令牌。