为自己的移动客户端开发安全API

Question

我正在开发API -这里没有问题

我的移动客户端将使用该API与Webservice进行通信。

我的问题是，我不知道是什么身份验证系统，这样人们才能登录本地应用程序，API才能知道哪个用户在发送请求。

我可以使它基于OAuth，但我的应用程序不是第三方，我希望用户转到网页等，我希望他们登录到应用程序内部，并能够发送请求作为真正的用户。

什么是两条腿和三条腿身份验证

Answer 1

如果你的应用程序接口在SSL上可用，你可以简单地使用HTTP Basic Authentication。

但是OAuth在你的场景中的好处是，即使没有安全的传输层，它也可以相当安全地工作，规范是这样的，它可以防止恶意的“重放”请求，也就是说，没有SSL，单个请求可以被窃听。

您可以实现xAuth，它基本上是OAuth，但具有更简单的用户身份验证。每个API请求仍然需要签名，但您可以通过发送用户名和密码来获取访问令牌。对你来说，这似乎是一个很有前途的选择。

两条腿的身份验证基本上是应用程序对应用程序的授权。基本上，两个应用程序交换API服务，而不涉及特定的最终用户。两条腿的授权绕过了授权步骤，基本上是立即提供访问令牌。

三条腿涉及用户授权第三方应用程序(消费者)通过服务提供商访问其资源。该方案涉及终端用户必须验证的临时令牌(请求令牌)，从而提供接入令牌。