Нужно ли мне OAuth, если я использую HTTPS?

Я создаю API-интерфейс узла вместе с клиентским приложением Javascript.Нужно ли мне OAuth, если я использую HTTPS?

Мне было интересно, есть ли преимущества для реализации OAuth, если я также использую HTTPS.

Что делать, если я просто отправляю имя пользователя + пароль для каждого запроса вместо того, чтобы реализовать OAuth?

Насколько я знаю, HTTPS шифрует коммуникацию клиент-сервер. Но я мог бы пропустить что-то importatn.

Я не разрешаю сторонним приложениям обращаться к моему API.

2015-11-01 nizzle

Вы поддерживаете сторонние приложения? или других приложений, которые вы можете разрешить для входа в систему через ваши ресурсы службы/доступа, принадлежащие пользователям, использующим ваш сервис? – dm03514

Нет, сторонних приложений не будет. Просто я и мое клиентское приложение. – nizzle

Тогда это ответ на ваш вопрос. OAuth - это система авторизации. Если вы хотите улучшить безопасность своего API, взгляните на [hawk] (https://github.com/hueniverse/hawk). – simo

OAuth - это система авторизации, поэтому по умолчанию вы не получаете никакой защиты по своим API-вызовам, особенно если вы используете OAuth2, что, скорее всего, имеет место. Если вам не нужно разрешать сторонние приложения, вам это не нужно.

Если вы хотите защитить свой API, то взгляните на hawk, используя только обычную аутентификацию немного наивно.

источник

2015-11-04 06:25:01 simo

Нужно ли мне OAuth, если я использую HTTPS?

ответ

Смежные вопросы