我目前正在开发一个Web应用程序,它现在由一个前端组成,它使用我们编写的REST API显示数据并与之交互.唯一可以使用API的是我们的前端网站,在某些时候我们将开发一个移动应用程序.
我已经做了很多关于OAuth如何成为保护API的理想机制的阅读,在这一点上,我开始很好地理解它是如何工作的.
我的问题是 - 由于我永远不会授予第三方客户端访问API的权限,OAuth真的有必要吗?它有什么理由有利吗?此外,因为后端只是API,所以没有用户进行身份验证的网关(如果您使用Twitter API编写应用程序,当用户进行身份验证时,他们将被定向到Twitter页面以授予访问权限)然后重定向回客户端).
我不确定要进入哪个方向.似乎http身份验证和OAuth之间必须有一些方法适合这种情况,但我只是没有得到它.