目前我正在尝试使用REST api在node.js中创建一个服务器来从android&中创建的应用程序进行CRUD调用的iOS。
当然,我希望这个REST api尽可能安全。花费最近几天尝试找到最佳方法,这似乎是通过HTTPS的Oauth2服务器。
我知道有很多这方面的内容,但我无法找到任何有关如何运作的简单解释。所以请不要将此标记为重复的问题,因为我对此感到困惑。
阅读关于Oauth2的android / ios中的应用程序需要在服务器上注册。我到处都看到这被认为是第三方应用程序,对我来说并非如此。
如果用户决定允许第三方应用程序进入我的REST API,那么Oauth2似乎更安全。像任何支持使用Facebook或G +登录的应用程序。
但原始应用程序是如何做到的?喜欢Facebook,Twitter和Google+的官方应用程序?
他们是否有可能使用Oauth2基础知识和访问/请求等等,但跳过整个用户批准部分,因为它不是第三方应用程序。或者他们可能在标题中使用更简单的用户名和密码,还是通过https发布?
如果我目前不打算在我的api中添加第三方访问权限,我真的不知道该采取什么方式。什么是好的方法?
答案 0 :(得分:5)
绝对是的!它被称为two legged authentification(它与存储在授权服务器数据库中的用户凭据一起使用)。它意味着您的客户端应用程序和您的资源服务器)
你可以在这里查看一些文档:
http://blog.nerdbank.net/2011/06/what-is-2-legged-oauth.html
和官方规范(第10页,您可以看到我用于我的应用的工作流程): https://tools.ietf.org/html/rfc6749#section-1.3