我计划使用oauth保护暴露于网络的api,仅供我们创建的应用程序使用。 oauth是否有点矫枉过正。如果你认为这是一种矫枉过正,有人可以推荐其他东西。我们也使用TLS保护频道。
答案 0 :(得分:0)
OAuth是一种协议,旨在允许应用程序通过API访问资源,即使资源所有者(用户)不存在也是如此。这并不意味着当用户在那里提供对API的访问时,您无法使用它。找到适合您平台的实现应该不难。
如果您的应用程序是一个可以保密的Web应用程序(客户端凭据),那么将API专用于您的应用程序将会正常工作。
如果您的应用程序是从浏览器(甚至是本机应用程序)访问API的JavaScript应用程序,则无法在这些客户端中保密。
您必须相信对用户进行身份验证才能访问您的API。