目前我正在尝试使用 REST api 在 Node.js 中创建一个服务器,以便从 Android 和 iOS 中制作的应用程序进行 CRUD 调用。
当然,我希望这个 REST api 尽可能安全。最近几天试图找到最好的方法来做到这一点似乎是通过 HTTPS 的 Oauth2 服务器。
我知道有很多这样的东西,但我找不到任何简单的解释来说明它应该如何工作。所以请不要将此标记为重复问题,因为我实际上对此感到困惑。
阅读有关 Oauth2 的内容后,android/ios 中的应用程序需要向服务器注册。在我看过的所有地方,这都被认为是第三方应用程序,但对我来说并非如此。
Oauth2 似乎是一个更安全的流程,如果用户决定允许的话,可以让第三方应用程序访问我的 REST api。就像任何支持使用 facebook 或 G+ 登录的应用程序一样。
但是原始应用程序是如何做到的呢?喜欢 Facebook、Twitter 和 Google+ 的官方应用程序吗?
他们是否有可能使用带有访问/请求请求等的 Oauth2 基础知识,但跳过整个用户批准部分,因为它不是第 3 方应用程序。或者他们可能在标题中使用更简单的用户名和密码,或者通过 https 发布?
如果我目前不打算向我的 API 添加第 3 方访问权限,我真的不确定要采取什么方式。继续下去的好方法是什么?
绝对是的!它称为
two legged authentificationhttp://blog.nerdbank.net/2011/06/what-is-2-legged-oauth.html
以及官方规范(在第 10 页上,您可以看到我用于我的应用程序的工作流程): https://www.rfc-editor.org/rfc/rfc6749#section-1.3