私はAPIを開発しています - ここでは何の問題自身のモバイルクライアントのためのセキュアなAPIを開発する
APIは、Webサービスと通信するために私のモバイルクライアントによって使用されることはありません。
私の問題は、どのユーザーがネイティブアプリでログインできるように、どのユーザーがリクエストを送信しているかを知るための認証システムがわかりません。
私はそれはOAuthをベースにすることができますが、私のアプリは、第三者ではなく、私は後藤A Webページなどにユーザーをしたいと私は彼らがアプリ内でログインしauthenicatedユーザーとして要求を送信できるようにしたいです。あなたのAPIを使用すると、単にHTTP Basic Authenticationのために行くことができますSSL経由で利用可能である場合に
何が2本足と3本足authenication
です。
しかし、OAuthの利点は、SSLなどのセキュアなトランスポート層がなくても合理的に安全に動作することです。仕様は、SSLなしでのリクエストの悪意のある「再生」を防ぐようなものです個々の要求を盗聴することができます。
xAuthは基本的にOAuthですが、はるかに簡単なユーザー認証を実装できます。各APIリクエストには依然として署名する必要がありますが、ユーザー名とパスワードを送信することでアクセストークンを取得できます。これはあなたにとって有望な選択肢のようです。
2足認証は、基本的にアプリケーション認証へのアプリケーションです。基本的に、特定のエンドユーザーが関与することなくAPIサービスを交換する2つのアプリケーション。 2脚注の承認は承認手順をバイパスし、基本的にはすぐにアクセストークンをプロビジョニングします。
3-leggedは、サードパーティアプリケーション(コンシューマ)がサービスプロバイダとのリソースにアクセスすることを許可するユーザを伴います。このスキームは、エンドユーザが検証しなければならない一時トークン(要求トークン)を含み、それによってアクセストークンをプロビジョニングする。
xuathはすべての方法であり、名前のtwitterが作り出したものではありません。現実の用語は何ですか? – carbonr
XAuth(xauth.org)には、OAuthとは何の関係もない取り組みがあります。そして、OAuthの認証ダンスのためのTwitterの発明であるxAuthがあります。紛らわしい:) –
それは混乱しています。 – carbonr