У меня есть веб-приложение LAMP-stack, которое предоставляет API REST. Цель состоит в том, чтобы иметь 3 уровня - databse, services (REST) и несколько интерфейсных клиентов (веб-сайт, Android, iPhone). В настоящее время эти уровни находятся в одной коробке. Веб-сайт использует API для совершения вызовов логики обслуживания для операций CRUD, мобильные клиенты еще не построены.OAuth 2 для мобильных клиентов, которым я владею
Я использую реализацию PHP bcrypt для хранения учетных данных пользователя. Это медленный/интенсивный процессор по дизайну. Каждый вызов API принимает пару имени пользователя и пароля вместе с параметрами API. Это будет препятствовать масштабному масштабированию, потому что хэш вычисляется при каждом вызове API.
Итак, я рассматривал альтернативы. OAuth 2.0 использует отменяемые токены, которые не стоят дорого, но статьи, которые я прочитал, по-видимому, предполагают, что основной вариант использования этого протокола - позволить сторонним пользователям получить доступ к моему API. Это не совсем подходит моей модели, поскольку мобильные клиенты, например, принадлежат мне.
ли OAuth предназначены только для использования с третьими сторонами, или это характерно для компании, чтобы добавить свои мобильные клиенты, как OAuth потребителей для своего собственного API?
Можно ли связать общий секрет с приложением Android/iPhone, которое я публикую на рынке приложений, так что они сразу могут связываться с API?