Question

我正在探索银行移动 HTML5 应用程序的可能性。它将会通过 RESTful API 与主服务器联系。我经常听到有人在移动应用程序中使用 OAuth 访问 API 。例如, Spring Sources s < a href="https://github.com/SpringSource/html5Excense" rel= “nofollow” > html5Excense 演示应用程序。

所以我不完全理解为什么要麻烦。用户不能按标准方式登录, 以会话代号( 或者如果是 Play 框架, 会话数据 ) 接收一个有会话代号的曲奇饼吗? 当应用程序向 REST 提出请求时, 它会用来识别用户的身份?

Answer 1

Oauth通常比多数Basic Authh(Basic Auth)更安全, 或“以标准方式登入”方法(OAuth(OAuth)正越来越成为标准)。

当您通过大多数“ 标准” 方式登录时, 用户将用户名/ 密码输入到应用程序中, 然后用户名/ 密码通常被存储在本地, 或者被传输到应用程序中, 然后可能会被转发到“ 主服务器 ”, 例如提供 API 。因此用户将不得不输入他非常秘密的登录信息( 例如银行? ), 输入到客户端、应用程序或者他不知道或者信任的系统...

使用 OAuth 时, 用户会被引导到该 API 所有人的一个登录页上。例如, 例如他的银行, 他登录到他所知道的安全登录页, 并被要求他同意“ xyz” 应用程序想要访问他的数据。... 请求访问的应用程序, 然后被给一个标记, 它可以在不需要知道用户名和密码的情况下访问 API 。这样用户名/ 密码就只输入一次, 在用户信任的地方输入一次。

此外,用户可以稍后登录并进入.(银行应用程序? 或和管理员前端)页面,删除对API的既定访问权,从而停止查阅其信息的申请,而不必更改他的密码。

除了安全性的效果之外,使用OAUT(OAUT)等工具,银行应用软件也是有道理的,因为如果应用现代安全技术,它将给人们更多的信心。它也会让人们感到更安全。

Answer 2

如果您不打算向第三方开发商发布您的 API ; 确实没有理由去烦恼 OAuth 。

OAuth 之所以存在,最大的原因是允许与您的 API 整合,而您的用户不必向第三方提供用户名和密码。其它原因则在于可以对第三方获取资源或访问范围设定时限。

友情链接