cbr*_*lak 8 authentication api ruby-on-rails
我想为我的网络应用提供经过身份验证的API访问.这种服务的消费者通常是其他网站/服务.
验证这些用户的最佳方法是什么?OAuth,openID,http身份验证?
在我们的工作中,对"哪个最好?"的答案如此之多.是"这取决于".:)
HTTP身份验证 - 如果您已经让客户通过ID和密码登录您的服务,您可能只需要做很少的工作就可以很好地使用您的API.如果您的API基本上是单一用途的,并且不需要详细的权限,那么您可以在这里快速完成某些工作.
API令牌 -如果你希望客户能够不需要提供密码验证容易(思公司,构建与您的API进行交互的服务;也许是IT部门不希望开发团队知道密码等等) ,然后将随机API令牌àGitHub附加到用户帐户可能是最快捷的方式.作为奖励,您可以提供一种重新生成API令牌的方法,而无需更改帐户密码.
OAuth的 -如果你有多个许可,或者是想要客户端如何以及何时访问API更细粒度的控制,OAuth是一个相当不错的选择(OAuth2用户是很容易的工作与国际海事组织和支持获得访问令牌的多种方法).此外,许多语言都有库,宝石等,可以简化OAuth工作流程.
| 归档时间: |
|
| 查看次数: |
1717 次 |
| 最近记录: |