我最近阅读了关于一个简单,安全的API身份验证系统的question,并看到两条腿的OAuth是一个很好的解决方案。但是说我只是创建自己的iPhone应用程序,并希望它与我自己的私有API接口。在这种情况下,双腿OAuth是否合适?采取这条路线有什么不利之处吗?
答案 0 :(得分:2)
iphone客户端的用户是否与某人登录,或者您只是尝试对客户端进行身份验证?
如果是前者,则使用oauth并让用户登录某个openid提供程序。它实际上意味着什么。
如果是后者(听起来这就是你正在做的事情),只需创建一些秘密并将其作为获取请求附加到所有内容并通过https进行操作。这听起来很不安全,但你做的其他事情也同样糟糕。您制作的任何加密/ w / e解决方案都将涉及在您的代码中加密秘密。如果有人抓住这个秘密(通过说反编译器),那么他们就可以伪造w / e系统。