OAuth è sensato da utilizzare quando le informazioni sull'account utente (ID utente, password, ruoli, ecc.) Verranno mantenute nel nostro back-end e quando non ci sarà alcuna condivisione di risorse con altri siti? O sta condividendo l'intero punto di utilizzo di OAuth?OAuth è una buona scelta per l'API RESTful in questo scenario SaaS?
Background:
sto lavorando sullo sviluppo di un prodotto SaaS enterprise e stiamo creando un RESTful API per essere utilizzati da nostre applicazioni front-end. I consumatori dell'API saranno le applicazioni per smartphone e smartphone nativi (iOS & Android) che sviluppiamo. Dal momento che supporteremo più tipi di client, ha senso creare un'API RESTful che tutte le nostre app client possano consumare.
Ovviamente abbiamo bisogno di proteggere questa API RESTful. Stiamo prendendo in considerazione l'autenticazione tramite HTTPS/Basic Auth, ma siamo a conoscenza di alcuni dei ben noti inconvenienti di questo approccio.
Alcune ricerche veloci mostrano che OAuth è altamente raccomandato. Ma la maggior parte di ciò che trovo con OAuth è nel contesto dell'autorizzazione dei siti Web a condividere informazioni per conto dell'utente.
Qualsiasi informazione se più gradita.
Ecco tre OAuth con zampe. C'è anche l'oauth a due gambe, che è ciò di cui potresti aver bisogno. – aitchnyu