仅为我的应用程序验证REST API客户端

Question

对使用我的私有REST API的客户端进行身份验证的最佳方法是什么？我不会向公众开放。有一种简单安全的方法吗？

注意：我已经在运行SSL了。我已经查看了基于SSL的HTTP Basic Auth，但我不想让用户每次都发送密码，并且将客户端/通行证存储在客户端以便自动发送似乎不太好。

任何想法或最佳做法？

Answer 1

您可以使用最常用的身份验证方法OAuth 您可以在OAuth 1.0a和OAuth 2.0

之间选择最合适的一个

以上是两种方式之间的比较：How is OAuth 2 different from OAuth 1?

Answer 2

在RESTful服务中实现安全性/身份验证有几个级别：

• 基本身份验证。在基于64的编码的Authentication标头内为每个呼叫发送用户名和密码。
• 基于令牌的身份验证。这意味着专用的身份验证资源将根据凭据提供临时令牌。收到后，无需再次使用凭据，因为此资源还会在先前过期时为新的身份验证令牌提供刷新令牌。
• 的的OAuth2 即可。它根据用例提供不同的流程。它允许最终用户通过第三方提供商（google，facebook，...）进行身份验证。该应用程序不管理用户名/密码（甚至知道密码）。这项技术的缺点是它提供了高级别的提示，而且实现起来并不那么简单。

以下是一些可以为您提供其他提示的链接：

• 使用令牌为RESTful应用程序实施身份验证 - https://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/
• OAuth2流量 - http://www.bubblecode.net/en/2013/03/10/understanding-oauth2/

希望它可以帮到你， 亨利