API安全- oauth 1还是2？

Question

他伙计们，

我设计了一个“实用RESTful”应用编程接口。不是针对Fieldings规范，而是针对此http://www.restapitutorial.com/ -请暂时搁置什么是/不是RESTful API的争论……

我想知道的是如何最好地保护我的API。我看到Oauth1.0a很常见，但我也看到它被弃用了。我现在应该使用的是什么？Oauth2.0？或者我应该忽略弃用，继续使用Oauth1.0a？

另外，如果我要使用Oauth 1.0或2.0，我应该为API研究什么流程？

干杯,

Answer 1

Oauth 2.0规范允许您根据需要定制安全性。如果你要使用OAuth 2.0，你必须找出什么最适合你和你的情况。

尽管Hans说Oauth 2.0是最安全的，但您必须认识到，许多人认为它的大多数实现都是不安全的(不是因为规范很糟糕，而是因为它太开放和松散，以至于人们没有像他们应该的那样正确地保护所有领域)。Oauth 2.0在处理主题的方式上更加“松散”。如果仔细观察，Oauth 2.0的RFC规范将其称为“框架”，而将Oauth 1.0a称为“协议”。由于这一点和其他一些原因，像twitter这样的公司一直坚持使用Oauth 1.0a。虽然JWT2.0是新的，但您必须引入其他规范，如OAuth来正确地保护它。

如果我想确保我的API应用程序是安全的，我肯定会坚持使用Oauth 1.0a (经过试验和测试)，除非你现在绝对需要Oauth 2.0的一些特性。

在Oauth1.0a中，实际上只有一种方法可以做到这一点，所以你应该使用“什么流程”的问题在这里得到了很好的回答。

Answer 2

Auth 2.0是OAuth 1.0a的后继者，许多API已经开始支持它，支持OAuth 1.0a。此外，新的开发-例如与OAuth 1.0a中的签名请求相媲美的功能，称为拥有证明令牌-目前正在OAuth 2.0中进行，但在OAuth 1.0上没有进行任何开发。因此，OAuth 2.0是您未来最安全的选择。