Web services 使用OAuth保护Web API需要哪些步骤?
这是将基于HTTP的API限制为已知客户端的最佳选择吗Web services 使用OAuth保护Web API需要哪些步骤?,web-services,security,oauth,oauth-2.0,Web Services,Security,Oauth,Oauth 2.0,这是将基于HTTP的API限制为已知客户端的最佳选择吗 我最感兴趣的是知道只有某些受信任的应用程序(如本机移动应用程序)才能访问API。这不是OAuth 2.0设计用来解决的问题。尤其是移动应用程序很难被识别为“已知客户端”,因为它们不能保密——它们的应用程序代码是下载的,可能会被一个有动机的黑客反编译,他们希望编写自己的客户端使用相同的协议 这个问题与这个问题有点重复:我认为这个问题可以从一些详细阐述中受益。什么是“客户”?软件客户端?最终用户?如果是软件-你是说安装实例,还是仅仅是“受信任的
我最感兴趣的是知道只有某些受信任的应用程序(如本机移动应用程序)才能访问API。这不是OAuth 2.0设计用来解决的问题。尤其是移动应用程序很难被识别为“已知客户端”,因为它们不能保密——它们的应用程序代码是下载的,可能会被一个有动机的黑客反编译,他们希望编写自己的客户端使用相同的协议
这个问题与这个问题有点重复:我认为这个问题可以从一些详细阐述中受益。什么是“客户”?软件客户端?最终用户?如果是软件-你是说安装实例,还是仅仅是“受信任的软件包”?@Scott-好建议。我特别关注移动应用程序,但我认为“可信软件包”可以很好地概括它(或者可能是注册软件开发人员提供的软件的同义词)。我同意这不是一个万无一失的计划。但我不认为这是重复的,因为我正在合理地寻找一个步骤,如果他们有一个应用程序,他们希望用OAuth来保护它的安全。