Ho l'impressione che OAuth sia per l'autenticazione tra tre parti. Ha senso implementare OAuth in un contesto in cui sono presenti solo un client e un server.
Abbiamo un server e un client (HTML / javascript). Attualmente effettuiamo l'autenticazione tramite il normale metodo "invia credenziali al server, ottieni un cookie, usa i cookie per autenticare tutte le richieste successive". Implementare OAuth sarà un vantaggio in questa situazione?
Oauth supporta diversi tipi di concessione per le diverse comunicazioni che stai chiedendo.
Ecco un esempio in una libreria PHP, di un tipo di concessione diverso o due:
Tipo di concessione delle credenziali del client Trusted Client e Untrust Client
Il tipo di sovvenzione Client Credentials viene utilizzato quando il client richiede l'accesso a risorse protette sotto il suo controllo (ovvero non vi sono terze parti).
# using HTTP Basic Authentication
$ curl -u TestClient:TestSecret https://api.mysite.com/token -d 'grant_type=client_credentials'
# using POST Body
$ curl https://api.mysite.com/token -d 'grant_type=client_credentials&client_id=TestClient&client_secret=TestSecret'
Riceverete un token di accesso (come il vostro cookie) e lo userete su tutte le chiamate successive.
Tipo di sovvenzione implicita
Il tipo di sovvenzione Implicit è simile al tipo di concessione Codice di autorizzazione in cui viene utilizzato per richiedere l'accesso a risorse protette per conto di un altro utente (ad esempio una terza parte). È ottimizzato per i client pubblici, come quelli implementati in javascript o su dispositivi mobili, in cui le credenziali del cliente non possono essere archiviate.
https://api.mysite.com/authorize?response_type=token&client_id=TestClient&redirect_uri=https://myredirecturi.com/cb
Fonte: link
Leggi altre domande sui tag oauth