标签: http authentication https oauth api-design
我正在设计一个始终通过HTTPS进行通信的RESTful API。有没有理由在通过HTTPS运行时使用像OAuth这样的方案?当整个通信被加密时,我是否特别感兴趣HMAC签名请求,随机数和时间戳等方面是否有用。
似乎任何基于HTTPS的身份验证方案都已足够,但我只想获得第二意见。
答案 0 :(得分:11)
嗯,这就是OAuth 2背后的整个理论。而不是OAuth 1的复杂签名机制,您只需依靠传输层安全性并专注于拼图的授权部分。 HTTPS协议无法解决授权,因此您仍需要OAuth 2。