作为更广泛的学习过程的一部分,我希望构建一个网站和移动应用程序,其中包含用于数据存储和检索的通用API(将其视为一个简单的cms)。移动应用程序将具有其他功能,例如离线存储(例如,如果离线)的草稿文章和访问媒体/相机等。将有一个面向公众的主页,每个成员都有一个安全区域来创建/修改自己的内容。
我已经做了很多阅读,但是对于如何处理身份验证(我很适合构建应用程序和网站以及api本身),我希望对推荐的体系结构提供一些反馈。我们还要说,在未来的某个时刻,我可能希望将api打开到第三方。那里有很多选项,但我似乎找不到代表流程的任何体面的图表。这种情况的利弊和链接到下面的选项图表将是伟大的。
宁愿不要求用户每次访问应用程序(或网站都是这样)时都要登录,并且担心移动应用程序上还有私钥。
现在这一定是一种非常常见的情况,我只是想知道人们对这些情况的体验。
OAuth 1a OAuth 2 HMAC 基本的SSL Apache Shiro StormPath等托管服务 任何其他选项
最终用户能够使用他们的社交帐户(Twitter,Facebook等)登录以及能够使用网站/应用程序创建帐户将会很不错。