Security 为移动设备保护Web API_Security_Api_Oauth

Security 为移动设备保护Web API

security api oauth

Security 为移动设备保护Web API,security,api,oauth,Security,Api,Oauth,我们有一个用于本地搜索网站的API，用于我们的移动应用程序目前, API不是公开的 API中未提供任何用户数据正在通过http运行我想保护通过API发送的数据。我已经做了一些研究，看起来Oauth是一个不错的选择 Oauth是正确的方法吗？（我们目前将使用两条腿的oauth，但将来如果需要用户许可，我们将使用三条腿的oauth） API需要https吗？自我签名的证书可以吗 Oauth最适合涉及第三方（提供商）的场景。例如：使用Facebook登录如果用户必须登录到您的服务才能访问

我们有一个用于本地搜索网站的API，用于我们的移动应用程序

目前,

API不是公开的
API中未提供任何用户数据
正在通过http运行

我想保护通过API发送的数据。我已经做了一些研究，看起来Oauth是一个不错的选择

Oauth是正确的方法吗？（我们目前将使用两条腿的oauth，但将来如果需要用户许可，我们将使用三条腿的oauth）
API需要https吗？自我签名的证书可以吗

Oauth最适合涉及第三方（提供商）的场景。例如：使用Facebook登录

如果用户必须登录到您的服务才能访问API，则可以使用基本身份验证。（通过Https将凭据附加到Http头）

最后：是的，你需要Https。如果您控制客户端和服务器，则自签名证书可以工作。例如，对于Android，您可以导入证书）：

（自签名服务器证书部分）

然而，若您正在创建一个web客户端，用户将收到一个关于不受信任站点的警告