V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
WildCat
V2EX  ›  问与答

自己的网站做移动端, API 用户验证是用 token 还是 oAuth2 比较好?为什么?

  •  
  •   WildCat · 2015-04-25 17:53:10 +08:00 via iPhone · 5203 次点击
    这是一个创建于 3525 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近用 Grape(Ruby) 写API,目前需要确定用户如何认证。看了下 oAuth2 挺健壮,但是见到的都是给第三方服务授权,似乎没发现自己网站客户端用这个…
    另外抓了下几个常用小站的客户端的包,好像几乎都是一个简单的 token 来保持用户登录状态,没用 oAuth2。

    那么问题是: 自己的网站做客户端(自己开发),用户在客户端也是用用户名密码登录,用 token 是否已经足够?考虑到防止恶意抓取(API Limit)等问题。
    6 条回复    2015-04-26 08:39:07 +08:00
    ipconfiger
        1
    ipconfiger  
       2015-04-25 18:00:09 +08:00   ❤️ 1
    oAuth2对于token被截获什么的无解,协议标准里叫你自己用https,哈哈
    WildCat
        2
    WildCat  
    OP
       2015-04-25 18:03:47 +08:00 via iPhone
    @ipconfiger 那就可以说,只要不用非 HTTP 的私有协议,用这两种都差不多?
    NeoAtlantis
        3
    NeoAtlantis  
       2015-04-25 18:06:37 +08:00   ❤️ 1
    oauth为啥我记得是给跨站的认证用的,比如我有人人的帐号,登录别的站就用人人的用户名和密码就行了?

    如果你自己的客户端和自己的站用,我倒是觉得客户端里面直接做一些公钥的加密也够了(比如把你站的公钥放进客户端程序里)。这样只要客户端是通过可信的途径下载的,还是挺安全的。
    WildCat
        4
    WildCat  
    OP
       2015-04-25 18:24:07 +08:00 via iPhone
    @NeoAtlantis 主要是想做状态保持,不想用 cookies
    yesmeck
        5
    yesmeck  
       2015-04-25 18:25:15 +08:00   ❤️ 1
    JWT
    zooandzoo
        6
    zooandzoo  
       2015-04-26 08:39:07 +08:00
    我也想问这个问题,一直也是用 token保持状态,不安全。oAuth2 涉及到第三方才采用这种方式吧。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3150 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:34 · PVG 21:34 · LAX 05:34 · JFK 08:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.