自己的网站做移动端, API 用户验证是用 token 还是 oAuth2 比较好?为什么?

2015 年 4 月 25 日
 WildCat
最近用 Grape(Ruby) 写API,目前需要确定用户如何认证。看了下 oAuth2 挺健壮,但是见到的都是给第三方服务授权,似乎没发现自己网站客户端用这个…
另外抓了下几个常用小站的客户端的包,好像几乎都是一个简单的 token 来保持用户登录状态,没用 oAuth2。

那么问题是: 自己的网站做客户端(自己开发),用户在客户端也是用用户名密码登录,用 token 是否已经足够?考虑到防止恶意抓取(API Limit)等问题。
5495 次点击
所在节点    问与答
6 条回复
ipconfiger
2015 年 4 月 25 日
oAuth2对于token被截获什么的无解,协议标准里叫你自己用https,哈哈
WildCat
2015 年 4 月 25 日
@ipconfiger 那就可以说,只要不用非 HTTP 的私有协议,用这两种都差不多?
NeoAtlantis
2015 年 4 月 25 日
oauth为啥我记得是给跨站的认证用的,比如我有人人的帐号,登录别的站就用人人的用户名和密码就行了?

如果你自己的客户端和自己的站用,我倒是觉得客户端里面直接做一些公钥的加密也够了(比如把你站的公钥放进客户端程序里)。这样只要客户端是通过可信的途径下载的,还是挺安全的。
WildCat
2015 年 4 月 25 日
@NeoAtlantis 主要是想做状态保持,不想用 cookies
yesmeck
2015 年 4 月 25 日
JWT
zooandzoo
2015 年 4 月 26 日
我也想问这个问题,一直也是用 token保持状态,不安全。oAuth2 涉及到第三方才采用这种方式吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/186276

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX