Tôi hiện đang phát triển một ứng dụng web ngay bây giờ bao gồm giao diện người dùng hiển thị và tương tác với dữ liệu bằng cách sử dụng API REST mà chúng tôi đã viết. Điều duy nhất sẽ sử dụng API là trang web giao diện người dùng của chúng tôi và tại một thời điểm nào đó, ứng dụng dành cho thiết bị di động mà chúng tôi sẽ phát triển.Bảo mật cho REST "Riêng tư" REST
Tôi đã đọc rất nhiều về cách OAuth là cơ chế lý tưởng để bảo mật API và tại thời điểm này, tôi bắt đầu hiểu rõ cách hoạt động của API.
Câu hỏi của tôi là - vì tôi không bao giờ cấp quyền truy cập vào API của tôi cho ứng dụng khách của bên thứ ba, OAuth có thực sự cần thiết không? Có lý do gì đó là thuận lợi không? Hơn nữa, vì phần cuối chỉ đơn giản là API, không có cổng cho người dùng xác thực (như khi bạn đang viết một ứng dụng bằng API Twitter, khi người dùng xác thực họ sẽ được chuyển đến trang Twitter để cấp quyền truy cập sau đó được chuyển hướng trở lại máy khách).
Tôi không thực sự chắc chắn hướng đi. Có vẻ như phải có một số cách tiếp cận giữa xác thực http và OAuth phù hợp với tình huống này nhưng tôi không nhận được.
Lợi thế của việc sử dụng OAuth là gì? – brandonvvv
Bạn sẽ không phải tự viết mã xác thực :) và nó cũng được kiểm tra và tin cậy. Với OAuth 2 chân, bạn chỉ cần chia sẻ một khóa riêng giữa máy chủ và người gọi api và bất kỳ người tìm kiếm nào sẽ không thể tìm ra khóa đó là gì (mặc dù có thể bạn sẽ muốn chạy kết nối qua SSL) . – jbowes
OK. Ý tưởng là xử lý thông tin đăng nhập qua API bằng tên người dùng và mật khẩu và chữ ký bằng khóa riêng, cấp mã thông báo và sau đó cho các cuộc gọi trong tương lai, sử dụng mã thông báo và chữ ký cho phần còn lại của phiên? – brandonvvv