Attualmente sto lavorando a un servizio che offre un'API HTTP per i client mobili.
Voglio che i client si autenticano per poter accedere alla mia API. Il server stesso sta facendo l'autenticazione non ci saranno provider esterni. La connessione stessa è crittografata tramite SSL / TLS.
La mia domanda ora è quale meccanismo io uso dopo le credenziali dell'utente dove controllato. Per quanto ne so i più comuni sono:
- Autenticazione di base HTTP
- Autenticazione dell'accesso al digest HTTP
- Autenticazione basata sulla sessione
- OAuth
- OAuth2
Personalmente tendo ad aderire all'autenticazione basata sulla sessione in quanto ampiamente supportata e facile da usare - inoltre mi sembra abbastanza sicura (okay c'è il dirottamento di sessione ma non devi inviare nuovamente le credenziali ogni volta)
Tuttavia sarebbe un miglioramento passare all'autenticazione dell'accesso al digest HTTP o anche a OAuth?
Best, Bodo