自己的网站做移动端, API 用户验证是用 token 还是 oAuth2 比较好?为什么?
WildCat · 2015-04-25 17:53:10 +08:00 via iPhone · 5113 次点击这是一个创建于 3309 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近用 Grape(Ruby) 写API,目前需要确定用户如何认证。看了下 oAuth2 挺健壮,但是见到的都是给第三方服务授权,似乎没发现自己网站客户端用这个…
另外抓了下几个常用小站的客户端的包,好像几乎都是一个简单的 token 来保持用户登录状态,没用 oAuth2。
那么问题是: 自己的网站做客户端(自己开发),用户在客户端也是用用户名密码登录,用 token 是否已经足够?考虑到防止恶意抓取(API Limit)等问题。
另外抓了下几个常用小站的客户端的包,好像几乎都是一个简单的 token 来保持用户登录状态,没用 oAuth2。
那么问题是: 自己的网站做客户端(自己开发),用户在客户端也是用用户名密码登录,用 token 是否已经足够?考虑到防止恶意抓取(API Limit)等问题。
 |
1
ipconfiger 2015-04-25 18:00:09 +08:00  1
oAuth2对于token被截获什么的无解,协议标准里叫你自己用https,哈哈
|
 |
2
WildCat OP @ipconfiger 那就可以说,只要不用非 HTTP 的私有协议,用这两种都差不多?
|
 |
3
NeoAtlantis 2015-04-25 18:06:37 +08:00 1
oauth为啥我记得是给跨站的认证用的,比如我有人人的帐号,登录别的站就用人人的用户名和密码就行了?
如果你自己的客户端和自己的站用,我倒是觉得客户端里面直接做一些公钥的加密也够了(比如把你站的公钥放进客户端程序里)。这样只要客户端是通过可信的途径下载的,还是挺安全的。 |
|
4
WildCat OP @NeoAtlantis 主要是想做状态保持,不想用 cookies
|
 |
5
yesmeck 2015-04-25 18:25:15 +08:00 1
JWT
|
 |
6
zooandzoo 2015-04-26 08:39:07 +08:00
我也想问这个问题,一直也是用 token保持状态,不安全。oAuth2 涉及到第三方才采用这种方式吧。
|
Select Language