保護移動設備的Web API

Question

我們爲我們的本地搜索網站提供了一個API，該API用於移動應用程序。

目前，

• 的API是不公開
• 沒有用戶數據提供的API在
• 運行在HTTP上

我想，以確保我們的數據被髮送通過API。我已經做了一些研究，看起來像Oauth是要走的路線

• Oauth是正確的方法嗎？ （我們現在使用2個雙向oauth，但是如果我們需要用戶許可，我們將會移動到3個雙向oauth）
• 我們是否需要https來獲取API？自簽名證書工作正常嗎？

Answer 1

Oauth最適合涉及第三方（提供商）的場景。例如：使用Facebook登錄。

如果用戶必須登錄到您的服務才能訪問該API，則可以使用基本身份驗證。 （通過https將證書附加到Http頭部）

最後：是的，你需要Https。如果您控制客戶端和服務器，則自簽名證書可以工作。例如，對於Android的，你可以導入證書）：

http://developer.android.com/training/articles/security-ssl.html（自簽名服務器證書一節）

但是，如果你正在創建一個Web客戶端，用戶將獲得信任的網站警告。