在不涉及第 3 方的情况下实施 OAuth 是否有意义

信息安全 Web应用程序 验证 oauth 休息
2021-08-26 21:43:38

我在服务器端拥有一个 REST API 和一个可以调用这些 API 的独特 Web 应用程序。

我想保护我的 API 调用。

经过一番阅读,我想在服务器端实现 OAuth 1.0a 机制。事实上,处理临时令牌、随机数等比强烈依赖 SSL 加密的传统 HTTP 基本解决方案安全得多。

然而,在我在网上找到的大多数示例中,OAuth 似乎本质上是一种从资源所有者(如 Facebook、Twitter 等)访问某些数据的方法,而无需用户将其相应的凭据传输到我自己的应用程序。

我的问题是:如果我的参与者只是我自己的 Web 应用程序和我自己的服务器端 API 集(意味着不涉及第三方提供的外部数据),那么实施 OAuth 是否有意义?确实,我真的很想从它的算法中受益。

1个回答

虽然如果您想为用户服务器提供该级别的隔离,则在针对您自己的系统进行身份验证时(因为您可以共享您的实际用户帐户数据)没有必要具有 OAuth 的复杂性,那么使用 OAuth 仍然可以为您提供好处。那时,您只需实现一个独立的 OAuth 提供程序,您的各种服务可以将其用作整个系统的单点登录。

如果您愿意,您还可以允许用户将他们的个人资料用作其他服务的单点登录,方法是使 OAuth 帐户可供其他站点使用。

其它你可能感兴趣的问题
上一篇安全擦除 EEPROM 和闪存 下一篇FIDO、U2F 兼容性