OAuth:OAuth 实现用例

Question

我有一个 webapp，它使用 php 服务器和数据库服务器执行大量 ajax 请求。我还创建了一个 iPhone 应用程序和一个 Android 应用程序，直到现在它们一直作为离线应用程序工作。

现在我想创建一个 API，用于在 Web 服务器和智能手机应用程序之间同步数据。我应该为此使用 OAuth 吗？我读过的关于 OAuth 的内容 - 如果我想打开我的 API 以供第三方应用程序使用，它似乎被使用了。但在这里，我只想确保 API 和我自己的应用程序之间的数据安全传输。

有人可以对此有所了解吗？

Answer 1

OAuth的主要用法是使第三方应用程序被授权访问网站上用户的私有(private)资源，而无需向第三方应用程序提供用户凭据。例如，假设 Twitter 想要从您的 Yahoo 帐户中获取联系人列表。传统的方式是将您的用户名和密码提供给 Twitter。但与 OAuth ，您给他们一个临时 token (称为 Access Token )，该 token 授权 Twitter 在有限的时间内访问您在 Yahoo 上的联系人(直到此 token 过期或您作为私有(private)资源的所有者明确撤销它)。

也就是说，OAuth不是关于在网络上安全地传输数据。这是另一个故事，通常使用 SSL 来实现。 .即使您使用 OAuth , 你必须使用 SSL以确保安全地发送和接收数据。

因此，在您的情况下，您必须查看 API 的用途。如果是公共(public) API，不向调用者提供任何私有(private)数据，则无需使用 OAuth .但是，如果 API 用于访问个人用户的私有(private)资源，您可以考虑使用 OAuth .如果您选择实现 OAuth ，您以后可以允许其他第三方应用访问您的 API，而无需担心。