那些遇到过的问题

HTTP基本身份验证+访问令牌?

Ale*_*ayo 6 security authentication oauth basic-authentication oauth-2.0

我正在开发一个REST API,我打算使用Web和IOS应用程序.我打算让这个API私有化一段时间(私人意味着我只希望我的网络应用程序和ios应用程序访问api).

我已经阅读了许多不同的身份验证方法,但我仍然很困惑为我的API选择适当的身份验证方法.

据我所知,oAuth2允许用户使用其他服务提供商登录您的APP,以便您可以访问相应服务提供商的数据.我在自己的API中访问数据,所以我认为这不适用于我?

所以,这就是我的想法:

  • 1)使用HTTP基本身份验证将用户/传递发送到服务器.

  • 2)服务器验证登录后,返回将在x小时后到期的访问令牌.这将允许我简单地存储令牌而不是用户/传递凭证.

我有谷歌这种技术,并没有真正找到任何关于这种方法的信息,这让我相信这不是一个好方法,因为我可能会尝试重新发明一些东西?

我该怎么办?我正在寻找两条腿的oAuth?

Flo*_*lli 1

事实上,OAuth2 并不是专用于对用户进行身份验证,而是授权客户端(网站或应用程序)访问资源(用户信息、页面、文件...)。

由于您的网站和应用程序是私有的(以便您对它们高度信任),我建议您使用资源所有者密码凭据授予类型。仅需要用户名/密码来获取访问令牌(如果需要,还需要刷新令牌)。您的客户不必像您提到的那样存储这些凭据。

只是精确一点:OAuth2 可以使用 HTTP 基本身份验证来验证客户端,而不是资源所有者/用户。

归档时间:

查看次数:

7075 次

最近记录:

11 年,4 月 前
相关归档
在未经所有者许可的情况下停止复制和使用应用程序的最佳方法是什么? 9
如何以编程方式编辑Windows 7/Server 2008中的hosts文件? 8
装配安全 7
如何从RESTful服务发送安全令牌? 6
在Java代码中嵌入密码最安全的方法是什么? 6
为什么浏览器在请求JavaScript文件时不发送cookie? 5
如何在Laravel 5.3中修改Passport OAuth的错误消息? 5
你应该在这个情境下加密app.config和web.config中的数据吗? 3
如何以编程方式允许我的应用程序访问KeyChain? 1
我的下面的代码中是否存在路径遍历漏洞? 1
难疑归档
**(双星/星号)和*(星号/星号)对参数有什么作用? 2149
JavaScript .prototype如何工作? 1988
PostgreSQL"DESCRIBE TABLE" 1790
使用其名称(字符串)调用模块的函数 1580
从客户端检测到潜在危险的Request.Form值 1437
const和readonly有什么区别? 1269
application/x-www-form-urlencoded或multipart/form-data? 1268
如何让ASP.NET Web API使用Chrome返回JSON而不是XML? 1220
你如何重命名Git标签? 1162
如何在滚动后检查元素是否可见? 1115