Fatal编程技术网
  • oauth/
  • 使用OAuth授权访问我自己的RESTAPI

使用OAuth授权访问我自己的RESTAPI

oauth

使用OAuth授权访问我自己的RESTAPI,oauth,oauth-provider,Oauth,Oauth Provider,我对OAuth和API安全性相当陌生 我正在构建一个RESTAPI,它将被我自己的移动应用程序访问 我想通过OAuth授权和身份验证向其他开发人员公开API,我将使用我自己的OAuth提供程序 我自己的移动应用的身份验证策略是什么?毕竟,我不需要用户授权我的应用程序。我是否可以使用OAuth进行身份验证,同时在默认情况下预授权自己的移动应用程序 我可以使用OAuth对我的移动应用程序的用户进行身份验证吗?或者我需要像OpenID这样的东西吗?如果您希望跳过用户授权步骤,我认为您不需要OAuth。

我对OAuth和API安全性相当陌生

我正在构建一个RESTAPI,它将被我自己的移动应用程序访问

我想通过OAuth授权和身份验证向其他开发人员公开API,我将使用我自己的OAuth提供程序

我自己的移动应用的身份验证策略是什么?毕竟,我不需要用户授权我的应用程序。我是否可以使用OAuth进行身份验证,同时在默认情况下预授权自己的移动应用程序

我可以使用OAuth对我的移动应用程序的用户进行身份验证吗?或者我需要像OpenID这样的东西吗?

如果您希望跳过用户授权步骤,我认为您不需要OAuth。但是,如果您决定使用oauth,则可以将授权步骤屏蔽为登录对话框,或者为应用程序提供访问令牌。用户授权是oauth功能中相当重要的一部分,因此忽略它可能意味着您应该使用其他界面来访问用户信息。

如果您希望跳过用户授权步骤,我认为您不需要oauth。但是,如果您决定使用oauth,则可以将授权步骤屏蔽为登录对话框,或者为应用程序提供访问令牌。用户授权是oauth功能中相当大的一部分,因此忽略它可能意味着您应该使用其他界面来访问用户的信息。

访问我自己的oauth REST API
-oauth与REST无关apriori:oauth-是授权协议,REST-一种架构风格

对于OAuth-使用版本2.0-现在已经是2012年了

我自己的移动应用程序的身份验证策略是什么?
-例如,对于Android上的移动应用程序,您可以使用获取用户的帐户,用户可以使用该帐户在Google Play store/GMAIL中注册手机(然后从服务器端生成一次性密码)。如果有人不向你的应用程序提供它们,请进行显式身份验证

现在可能只有计算器不使用显式身份验证——所以为什么你们会有所不同呢?您可以将身份验证链接到FB、Google或任何其他OAuth提供商-是什么促使您创建合适的OAuth提供商

您可以使用OAuth和OpenID对用户进行身份验证。

访问我自己的OAuth REST API
-OAuth与REST无关apriori:OAuth-是授权协议,REST-一种体系结构风格

对于OAuth-使用版本2.0-现在已经是2012年了

我自己的移动应用程序的身份验证策略是什么?
-例如,对于Android上的移动应用程序,您可以使用获取用户的帐户,用户可以使用该帐户在Google Play store/GMAIL中注册手机(然后从服务器端生成一次性密码)。如果有人不向你的应用程序提供它们,请进行显式身份验证

现在可能只有计算器不使用显式身份验证——所以为什么你们会有所不同呢?您可以将身份验证链接到FB、Google或任何其他OAuth提供商-是什么促使您创建合适的OAuth提供商

您可以使用OAuth和OpenID对用户进行身份验证。

当然,用户将有一个登录对话框。我应该为我自己的应用程序使用不同的身份验证方法,为第三方应用程序使用oauth吗?什么样的身份验证方法最适合于此?当然,用户将有一个登录对话框。我应该为我自己的应用程序使用不同的身份验证方法,为第三方应用程序使用oauth吗?什么样的身份验证方法最适合于此?比如我的移动应用程序的api密钥和第三方api访问的OAUTH?对于Android,您有内部存储:
您可以将文件直接保存在设备的内部存储上。默认情况下,保存到内部存储器的文件是应用程序的专用文件,其他应用程序无法访问它们(用户也不能)。当用户卸载应用程序时,这些文件将被删除。
iOS也一样。我认为系统默认方法给了您足够的保护-使用它们。如果不是完全通过OAuth进行身份验证,而是用户友好的。目前,我使用的是HTTP请求头中传递的api密钥。用户使用其用户名/密码登录,服务器对其进行验证并返回标识该特定用户的api密钥。我正在研究实现这一点的标准方法(请记住,我将在将来为第三方应用程序提供OAUTH),我认为你找不到一种理想的方法来实现这一点。很多人都会问这个问题。据我所知,我正在研究两条腿的身份验证,OAUTH是否适用于此?比如我的移动应用程序的api密钥和第三方api访问的OAUTH?对于Android,您有内部存储:
您可以将文件直接保存在设备的内部存储上。默认情况下,保存到内部存储器的文件是应用程序的专用文件,其他应用程序无法访问它们(用户也不能)。当用户卸载应用程序时,这些文件将被删除。
iOS也一样。我认为系统默认方法给了您足够的保护-使用它们。如果不是完全通过OAuth进行身份验证,而是用户友好的。目前,我使用的是HTTP请求头中传递的api密钥。用户使用其用户名/密码登录,服务器对其进行验证并返回标识该特定用户的api密钥。我正在研究实现这一点的标准方法(请记住,我将在将来为第三方应用程序提供OAUTH),我认为你找不到一种理想的方法来实现这一点。很多人都会问这个问题。所以据我所知,我正在研究两条腿的身份验证,OAUTH适合吗?