我自己的客户端是否需要通过OAuth与RESTAPI接口?
目前我们有一个RESTAPI和一个客户端,客户端通过HTTPS对用户进行一次身份验证,并接收一个访问令牌。然后,对于每个需要身份验证的请求,客户机从请求主体创建一个HMAC,其中包含URL和查询字符串以及服务器和客户机之间的共享机密。我是否需要更进一步,在我自己的客户端-API之间实现OAuth?您似乎已经在以类似OAuth(v1.0a)的方式执行身份验证了。但是,我建议您在HMAC创建中包含时间戳和nonce,并在API中检查它们以防止重播攻击我自己的客户端是否需要通过OAuth与RESTAPI接口?,api,rest,authentication,oauth,Api,Rest,Authentication,Oauth,目前我们有一个RESTAPI和一个客户端,客户端通过HTTPS对用户进行一次身份验证,并接收一个访问令牌。然后,对于每个需要身份验证的请求,客户机从请求主体创建一个HMAC,其中包含URL和查询字符串以及服务器和客户机之间的共享机密。我是否需要更进一步,在我自己的客户端-API之间实现OAuth?您似乎已经在以类似OAuth(v1.0a)的方式执行身份验证了。但是,我建议您在HMAC创建中包含时间戳和nonce,并在API中检查它们以防止重播攻击