La mia conoscenza di OAuth (2.0) è che è uno stack software e un protocollo per consentire a più di 2 app Web di condividere informazioni su un singolo utente finale. L'utente A è un membro del sito B e del sito C; Il sito B vuole recuperare alcuni dati dal sito C sull'utente A, ed è qui che entra OAuth.
Per prima cosa, se questa valutazione non è corretta, per favore inizia chiarendo questo per me e correggendomi!
Supponendo che io sia sulla strada giusta, allora suppongo di non vedere la necessità che OAuth inizi con (!). Sono sicuro di non vedere la "foresta tra gli alberi" qui, ma per come la vedo io, il sito C non può esporre un'API pubblica che il sito B potrebbe utilizzare per recuperare gli stessi dati (senza OAuth) ? Se il sito C richiede le credenziali dell'utente per accedere ai dati, questa API pubblica può utilizzare solo HTTPS per il trasporto sicuro e richiedere nome utente / password come parte di ciascuna chiamata API?
Ancora una volta, sono sicuro che mi manca qualcosa, ma non sto capendo perché avrei bisogno di OAuth quando un'API pubblica, sicura, scritta ed esposta dal Sito C sembra più che in grado di fornire ciò che il Sito B ha bisogno riguardo Utente A.
In generale, sto cercando una serie di linee guida da seguire quando decido di scegliere se utilizzare OAuth per le mie app Web o semplicemente scrivere il mio servizio web (esponendo l'API pubblica).
Grazie in anticipo!