简单的Http与OAuth身份验证

时间:2015-03-27 12:00:24

标签: security authentication oauth thinktecture-ident-server

互联网上的任何地方我都看到人们说我应该使用OAuth而不是基本HTTP身份验证。意味着发送Base64Encoded用户名:密码作为Autorization标头的一部分。我这样做是因为我不想被重定向到某些应用程序的身份验证服务器。我了解OAuth是首选,因为您不必处理应用程序的凭据,但是使用OAuth有什么好处吗?

1 个答案:

答案 0 :(得分:0)

用户名/密码是一种通常不会过期的凭证,或者如果过期,则没有明确的方法来获取新凭证。

OAuth对客户端的好处是,它不需要存储未过期的主要凭证,并且需要有一种定义的方式(或者更确切地说是多种定义的方式)来获取更新的凭证。

此外,资源服务器永远不会看到客户端和授权服务器之间应该保留的任何长期凭证或任何其他秘密。