我看到OAuth2被认为是下一个身份验证方案。上下文允许第三方客户端在不放弃用户名/密码的情况下进行身份验证。
如果我的API不是用于第三方访问的情况怎么样?唯一的用户将是通过我提供的移动客户端的最终用户? OAuth2在这种情况下是否仍然适用,或者我可以使用一种更流行的现有方案,例如HTTP AUTH?
答案 0 :(得分:0)
如果你愿意,你可以做这种事情,它通常被称为“两条腿的Oauth”。 Oauth是一个非常复杂的协议。它需要,因为它做的事情非常复杂。
无论如何,我们使用两条腿的Oauth来处理工作中的一些事情,这大大超过了复杂的事情。我们使用它的方式,它只是一个更复杂的HTTP的基本身份验证版本,但没有任何实际的好处。对于两条腿的oauth有一些有效的用例,但我不认为替换Basic Auth应该是其中之一。 http://sites.google.com/site/oauthgoog/2leggedoauth/2opensocialrestapi是一个很好的例子,说明为什么你可能想要使用一个两条腿的Oauth,还有一些分散在网络上。
除非你能想到使用它的一个好的,具体的理由,否则我建议远离它。不要因为时髦而使用它。