我一直在使用使用Web API创建的一些RESTful Web服务将OAuth视为一种身份验证机制。它似乎使用OAuth 2.0。
据我所知,其中一个OAuth主要目标是允许对另一个身份提供商(Facebook,Google等)进行身份验证,而无需在系统之间共享密码。但是,如果您只使用内置令牌提供程序,那么使用OAuth是否过度?
也就是说,我需要为商店创建Web服务的系统具有自己的身份而不是走出系统。我也一直在关注HMAC,但OAuth(通过Web API项目)实现起来要简单得多。
如果不是OAuth,那么HMAC是首选方法吗?