我意识到这个主题有很多问题，我已经研究了几天了。我想确保我的问题尽可能具体，因为我还没有完全了解最佳方法。

目前，我有一个开发的django网站，web客户端可能95%通过django-活塞jsonRESTapi进行通信。另外5%是一些重新调整的登录功能，仍然通过具有CSRF保护的POST表单。理想情况下，我希望将剩余部分也移到RESTapi中。

我现在需要找出最好的推荐解决方案，以可重复使用和愉快地共存的方式保护web客户端和移动客户端（应用程序尚未开发）。我读过很多文章，最终推荐OAuth2（和https）用于移动端，但我仍然对如何设置web客户端安全性感到困惑。我也在理解OAuth2方面，以及我是否可以使用2格形式。目前，web客户端是经过django身份验证的。从技术上讲，jsonp功能在活塞中仍然是活动的，所以我认为任何人都可以使用第三方应用程序的api，只要他们的网络会话有authcookie？

我的api的使用摘要：

1. API是服务器应用程序的完全私有接口
2. 如果API不能被第三方web客户端mashup广泛重用，那将是理想的选择
3. 该数据对necc不敏感。它只是一个社交型网站，大多数个人信息都是基本的用户档案，比如电子邮件、地址等

我的问题摘要：

1. OAuth2是确保移动应用程序访问安全的最佳推荐方法吗？这与web客户端方面有什么关系吗？如果建议使用OAuth2，它是否应该是应用程序范围内的密钥，并与应用程序版本一起进行版本控制
2. web客户端是否应该使用通过ajax传递的CSRF，并禁用jsonp以确保其始终相同？基本上，我是否单独处理web客户端安全
3. 我应该如何组织URL/应用程序实例/子域或其他建议的内容来维护网络与移动安全？我是否只需要单独的url前缀，一个用于使用不同规则的移动设备

我正在寻找django活塞解决这些问题的具体建议。我已经扩展了我的项目，并开始使用这个分叉版本的活塞：https://bitbucket.org/jespern/django-piston-oauth2

我的一个想法是创建一个活塞资源，首先检查其来源是否相同，然后只强制django-auth，否则强制oauth2，但我不确定这是否合适。

更新日期：2012年1月1日

根据Spike提供的信息，我开始使用piston-auth2。我最终创建了一个fork，为nonrel-django（mongodb）添加了一些修复程序，并派生了一些也使用oauth2和活塞的示例：

https://bitbucket.org/justinfx/django-piston-oauth2-nonrel-example

现在，这只是我真正把它与我自己的项目挂钩并使其发挥作用的问题。但这些测试都很有效。