我在網上收到有關首選REST API認證/授權機制的混合信號,特別是對於移動應用程序。REST API安全目前的智慧狀態是什麼?
- 有OAuth 1.0,但它聲稱比它需要更復雜,並且不太支持本地客戶(回調URL非常以瀏覽器爲中心)。另一方面,有一個主要的提供商支持它(Twitter)。
- 然後是OAuth 2.0,它應該是1.0以上的改進,並且它在默認咒語中取代了客戶端加密(替換爲承載令牌),但有些人認爲it's broken by design和bearer tokens are no better than cookies。來自粗略提供商的SSL證書可以使移動客戶更容易相信該端點是可信的權威機構。不過,兩家主要提供商(Google和Facebook)都支持它。
- 然後還有人,誰advocate sidestepping the whole mess and rolling your own.
因此,這是什麼呢?
OAuth 1中的回調URL可以很好地替換爲OOB方法(Twitter也支持這種方法)。順便說一下,OAuth 2也使用回調URL,但它也提供基於用戶名/密碼的身份驗證(Twitter的OAuth 1實現也是這樣)。 – 2012-04-26 15:30:27
不具有建設性?真? *真?* – 2012-04-26 15:31:16