使用令牌进行API身份验证

时间:2016-05-11 12:37:57

标签: api rest oauth rest-security

我正在网站上工作,我不太了解有关身份验证的事情。

我有一个带有外部API的网站,我的网站可以向我的API询问信息,以检索用户,文章等数据。

此外,用户可以在我的网站上创建帐户并要求API访问(当然,他的个人资料有一些限制)。所以我的想法是在用户帐户中提供一个密钥/令牌,以允许它从API发送/检索他的数据。 (例如,Bugsnag,Google分析等服务......)

  • 是“O-Auth 2”的工作吗?我的网站就像一个客户端,带有一个密钥,允许他检索更多数据(基本上是一个更好的范围)
  • 如果用户使用他的API令牌添加Javascript脚本,是什么保护用户让他的密钥/令牌被另一个用户从DOM中窃取?

谢谢!

1 个答案:

答案 0 :(得分:0)

OAuth 2.0 is not for Authentication

OpenID Connect基于OAuth 2.0构建,使用JSON Web Tokens可以签名(JWS)和加密(JWE