我正在尝试设计一个移动应用程序,我对实现安全性所需的路径有一些疑问。
起初,我认为OAuth2是必要的,但在网上搜索了一番后,我得出了这样的结论(希望是正确的结论(:当我希望用户使用他们在我的应用程序中创建帐户时使用的凭据在其他应用程序中进行身份验证时,会使用OAuth。
所以现在我的问题是:
- 我对OAuth用例的理解正确吗
- 如果不需要OAuth,那么将用户名和密码传递给api以创建帐户就足够了吗
- 在发出api请求时,我如何能够严格访问属于登录用户的数据?(这仍然是基于会话的吗,比如登录网站?(
我假设您没有编写oauth服务
- 是的,在这种情况下,谷歌、github等会为您和重定向到您提供的重定向url
- 这意味着你正在使用基本的auth RFC 7616,根据我所听到的它不像承载身份验证RFC 6750那样安全
- 这应该由您的应用程序处理,外部oauth应用程序将只进行初始身份验证。githubs oauth流