自己的网站做移动端， API 用户验证是用 token 还是 oAuth2 比较好？为什么？ - V2EX

Home Sign Up Sign In

This topic created in 4060 days ago, the information mentioned may be changed or developed.

最近用 Grape(Ruby) 写API，目前需要确定用户如何认证。看了下 oAuth2 挺健壮，但是见到的都是给第三方服务授权，似乎没发现自己网站客户端用这个…
另外抓了下几个常用小站的客户端的包，好像几乎都是一个简单的 token 来保持用户登录状态，没用 oAuth2。

那么问题是: 自己的网站做客户端（自己开发），用户在客户端也是用用户名密码登录，用 token 是否已经足够？考虑到防止恶意抓取（API Limit）等问题。

6 replies • 2015-04-26 08:39:07 +08:00

1

ipconfiger

Apr 25, 2015

1

oAuth2对于token被截获什么的无解，协议标准里叫你自己用https，哈哈

2

WildCat

OP

Apr 25, 2015 via iPhone

@ipconfiger 那就可以说，只要不用非 HTTP 的私有协议，用这两种都差不多？

3

NeoAtlantis

Apr 25, 2015

1

oauth为啥我记得是给跨站的认证用的，比如我有人人的帐号，登录别的站就用人人的用户名和密码就行了？

如果你自己的客户端和自己的站用，我倒是觉得客户端里面直接做一些公钥的加密也够了（比如把你站的公钥放进客户端程序里）。这样只要客户端是通过可信的途径下载的，还是挺安全的。

4

WildCat

OP

Apr 25, 2015 via iPhone

@NeoAtlantis 主要是想做状态保持，不想用 cookies

5

yesmeck

Apr 25, 2015

1

JWT

6

zooandzoo

Apr 26, 2015

我也想问这个问题，一直也是用 token保持状态，不安全。oAuth2 涉及到第三方才采用这种方式吧。

About · Help · Advertise · Blog · API · FAQ · Solana · 2657 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 32ms · UTC 11:59 · PVG 19:59 · LAX 04:59 · JFK 07:59
♥ Do have faith in what you're doing.