현재 작성한 REST API를 사용하여 데이터를 표시하고 상호 작용하는 프런트 엔드로 구성된 웹 응용 프로그램을 현재 개발 중입니다. API를 사용할 수있는 유일한 방법은 프런트 엔드 웹 사이트이고 일부는 개발할 모바일 앱입니다."개인"REST API에 대한 보안
나는 OAuth는이 API를 확보하고 나는 그것이 어떻게 작동하는지에 대해 잘 알고 있어야하기 시작하고이 시점에서 이상적인 메커니즘입니다 방법에 대해 읽는 많은 일을했다.
내 질문입니다 - 나는 결코 타사 클라이언트에 내 API에 대한 액세스 권한을 부여하지하고 있기 때문에, OAuth를 정말 필요한가? 유리한 이유가 있습니까? 또한 백엔드는 단순히 API이기 때문에 사용자가 인증 할 게이트웨이가 없습니다 (Twitter API를 사용하여 앱을 작성하는 경우, 사용자가 인증 할 때 트위터 페이지로 연결되어 액세스 권한을 부여하는 것처럼) 그런 다음 다시 클라이언트로 리다이렉션 됨).
내가. 정말 어떤 방향으로 갈 확실하지 않다가이 상황에 적합 할 중간 HTTP 인증 및 OAuth를 사이에 접근해야하지만 그냥받지 못했습니다 것 같다.
OAuth를 사용하면 어떤 이점이 있습니까? – brandonvvv
직접 인증 코드를 작성할 필요가 없으며 잘 테스트되고 신뢰할 수 있습니다. 2 개의 다리가있는 OAuth를 사용하면 서버와 API 호출자간에 하나의 개인 키 만 공유하면되고, 어떤 스누퍼는 해당 키가 무엇인지 파악할 수 없습니다 (SSL을 통한 연결을 원할 수도 있음) . – jbowes
확인. 그래서 아이디어는 사용자 이름과 암호를 사용하는 API를 통한 로그인과 개인 키를 사용하는 서명을 처리하고 토큰을 부여한 다음 향후 호출을 위해 나머지 세션에 토큰과 서명을 사용합니까? – brandonvvv