我正在考慮構建一些移動應用程序。因此,這些應用程序將通過JSON和REST(例如,放置,發佈等)「與我的服務器通話」。人們如何處理RESTful API的驗證(技術不可知)
如果我想確保一個客戶端手機應用程序正在嘗試做某些需要某種「許可」的事情,那麼人們如何處理?
例如:
我們的網站銷售的東西 - >電視,汽車,服裝等API會 讓人們瀏覽商店和購買物品。要購買,您需要 「登錄」。我需要確保他們的手機使用 的人真的是他們。
這怎麼辦?
我已經看過twitter如何用他們的OAuth來做這件事情,看起來他們在REQUEST HEADER中有許多值。如果是這樣(我喜歡這種方法),是否有可能我可以使用另一個第三方作爲網站來存儲用戶名/密碼(例如twitter或Facebook是OAuth提供商)..我所做的只是以某種方式檢索自定義標題數據..並確保它存在於我的數據庫..其他..讓他們認證與他們的OAuth提供商?
或者還有另外一種方法嗎?
PS。我真的不喜歡有一個API密鑰的想法 - 我覺得它可以很容易地交給另一個人使用(我們不能冒這個風險)。
這個問題有一些很好的答案:http://stackoverflow.com/questions/5511589/securing-an-api-ssl-http-basic-authentication-vs-signature和http:// stackoverflow。 COM /問題/ 3358501 /如何,應該-I-處理認證功能於我-REST的API。 – David 2012-03-04 00:18:59