我对OAuth和API安全性很陌生。
我正在构建一个 REST API,将由我自己的移动应用程序访问。
我想通过 OAuth 授权和身份验证向其他开发人员公开 API,我将使用自己的 OAuth 提供程序。
我自己的移动应用程序的身份验证策略是什么?毕竟,我不需要用户授权我的应用程序。我可以在默认预授权自己的移动应用程序的同时使用 OAuth 进行身份验证吗?
我可以使用 OAuth 对移动应用程序的用户进行身份验证,还是需要类似 OpenID 的内容?
如果您想跨过用户授权步骤,我认为您不需要 oauth。但是,如果确定使用 oauth,则可以将授权步骤屏蔽为登录对话框,或为应用程序提供访问令牌。用户授权是oauth功能中相当大的一部分,因此忽略它可能意味着您应该使用其他界面来访问用户的信息。
Accessing my own oauth REST API - OAuth不需要处理 REST apriori:OAuth - 是授权协议,REST - 一种架构风格。
对于OAuth - 使用版本2.0 - 它已经是2012年了。
What is the authentication strategy for my own mobile app? - 例如,对于Android上的移动应用程序,您可以使用可以获取用户帐户,该帐户在GooglePlay商店/GMAIL中注册了他的手机(然后从服务器端生成一次性密码)。如果有人不将它们提供给你的应用,请进行显式身份验证。
现在可能只有计算器不使用显式身份验证 - 那么为什么要有所不同呢?您可以将身份验证链接到FB或Google或任何其他OAuth提供商 - 是什么使您创建适当的OAuth提供商?
您可以使用 OAuth 和 OpenID 对用户进行身份验证。