使用網站，移動應用程序和網絡服務進行身份驗證

Question

我正在創建一項服務，該服務將包含網站，移動應用程序和Web服務。

網站和移動應用程序都會與Web服務通信以與數據庫和任何其他後端項目進行交互。

我希望用戶能夠與其他服務（如谷歌，Facebook，Twitter等）

我在實施這一兩個問題登錄：

1）如果我使用OpenID或OAuth？我不確定哪種情況更好。我不需要實際訪問用戶帳戶中的功能，我只希望他們能夠使用已有帳戶登錄，

2.）我應該在哪裏實施身份驗證？我是否必須在網站和移動應用程序上實現它，或者我可以同時使用Web服務並在那裏進行身份驗證？

感謝

Answer 1

如果你只是在做認證和不同步的任何帳戶信息，我認爲OpenID是要走的路。從安全角度來看，我會說在網站和應用上實現身份驗證，而不是在Web服務中實現。您希望儘可能少地處理憑證，特別是如果不使用SSL，則可以避免通過webservice發送憑證。