Ha senso implementare OAuth quando non sono coinvolte terze parti

Naviga le tue risposte
16

Possiedo un'API REST sul lato server e un'applicazione Web distinta che chiamerebbe tali API.

Voglio proteggere le mie chiamate API.

Dopo alcune letture, voglio implementare il meccanismo OAuth 1.0a sul lato server. In effetti, trattare con token temporanei, nonce, ecc. È di gran lunga più sicuro di una soluzione di base HTTP tradizionale che dipende strongmente dalla crittografia SSL.

Tuttavia, nella maggior parte degli esempi che ho trovato sul Web, OAuth sembra essere essenzialmente un mezzo per accedere ad alcuni dati da un proprietario di risorse (come Facebook, Twitter, ecc.) senza che l'utente debba trasmettere la sua credenziali corrispondenti alla mia app.

La mia domanda è: Ha senso implementare OAuth se i miei attori sono solo la mia applicazione web e il mio set di API sul lato server, (significa che non sono coinvolti dati esterni forniti da una terza parte)? In effetti, voglio davvero beneficiare del suo algoritmo.

    
posta Mik378 14.02.2014 - 14:31
fonte

1 risposta

7

Sebbene non sia necessario avere la complessità di OAuth durante l'autenticazione con il proprio sistema (poiché è possibile condividere i dati dell'account utente effettivo) se si desidera fornire tale livello di isolamento al server utente, quindi utilizzare OAuth non offri ancora vantaggi. A quel punto dovresti semplicemente implementare un provider OAuth indipendente che i tuoi vari servizi potrebbero utilizzare come un unico segnale sul tuo sistema.

Potresti anche consentire agli utenti di utilizzare il loro profilo come un unico accesso per altri servizi, se lo desideri, rendendo l'account OAuth utilizzabile da altri siti.

    
risposta data 14.02.2014 - 15:28
fonte

Leggi altre domande sui tag

I server di posta elettronica Microsoft "richiedono il controllo remoto delle funzionalità di sicurezza dei dispositivi Android" Quali tecniche e strumenti usi per mettere in relazione gli eventi di sicurezza?