1. дома
  2. Вопрос и ответ
  3. Доступ к моему собственному API REST с авторизацией OAuth

Доступ к моему собственному API REST с авторизацией OAuth

2012-06-05 3 views
2

Я довольно новичок в обеспечении безопасности OAuth и API.Доступ к моему собственному API REST с авторизацией OAuth

Я создаю API REST, к которому будет обращаться мое собственное мобильное приложение.

Я хочу предоставить API другим разработчикам через авторизацию и аутентификацию OAuth, и я буду использовать свой собственный поставщик OAuth.

Какова стратегия аутентификации для моего мобильного приложения? В конце концов, мне не нужно, чтобы пользователь санкционировал мое приложение. Могу ли я использовать OAuth для аутентификации, когда мое собственное мобильное приложение предварительно авторизовано по умолчанию?

Могу ли я аутентифицировать пользователей моего мобильного приложения с помощью OAuth или мне нужно что-то вроде OpenID?

источник

2012-06-05 Gal Ben-Haim

ответ

0

Я не думаю, что вы хотите oauth, если вы хотите перейти на шаг авторизации пользователя. Однако, если вы решите использовать oauth, вы можете замаскировать шаг авторизации в качестве диалогового окна входа в систему или предоставить вашему приложению токен доступа. Пользовательская авторизация является довольно значительной частью функциональности oauth, поэтому ее игнорирование, вероятно, означает, что вы должны использовать другой интерфейс для доступа к информации ваших пользователей.

источник

2012-06-05 20:35:23 Nielsvh

+0

Конечно, у пользователей будет диалоговое окно входа. следует ли использовать другой метод проверки подлинности для своих приложений и использовать для сторонних приложений? Какие методы аутентификации подходят для этого? –

0

Accessing my own oauth REST API - OAuth НЕ НУЖНО иметь дело с REST apriori: OAuth - протокол авторизации, REST - стиль архитектуры.

Для OAuth - используйте версию 2.0 - это уже 2012 год.

What is the authentication strategy for my own mobile app? - для мобильного приложения на Android, например, вы можете использовать аккаунт пользователя, с которого зарегистрировался его телефон в магазине GooglePlay/GMAIL (а затем с одного сервера на другой сервер). Если вы не предоставите их в своем приложении - выполните явную аутентификацию.

В настоящее время, вероятно, только калькулятор не использует явную аутентификацию - так почему вы должны отличаться? Вы можете связать вас с аутентификацией с FB или Google или любым другим провайдером OAuth - что заставляет вас создавать своего надлежащего поставщика OAuth?

Вы можете аутентифицировать пользователей как с OAuth, так и с OpenID.

источник

2012-06-06 13:40:42

+0

так что-то вроде ключа api для моего мобильного приложения и OAUTH для доступа сторонних API-интерфейсов? –

+0

Для Android у вас есть внутреннее хранилище: 'Вы можете сохранять файлы непосредственно на внутренней памяти устройства. По умолчанию файлы, сохраненные во внутреннем хранилище, являются приватными для вашего приложения, а другие приложения не могут получить к ним доступ (а также не могут). Когда пользователь удаляет ваше приложение, эти файлы удаляются. «То же самое для iOS. Я думаю, что системные методы по умолчанию дают вам достаточно защиты - используйте их. Если вы не сделаете аутентификацию полностью через OAuth, но это будет удобно. –

+0

В настоящее время я использую ключи api, которые передаются в заголовках HTTP-запросов. пользователь регистрируется со своим именем пользователя/паролем, сервер проверяет его и возвращает ключ api, который идентифицирует конкретного пользователя. Я изучаю стандартный способ сделать это (имея в виду, что у меня будет OAUTH в будущем для сторонних приложений) –

Смежные вопросы

 Смежные вопросы