Sto costruendo un'API RESTful JSON costruita con node.js e express.js,come proteggere un'API RESTful JSON per chiamate sia mobili che AJAX?
l'API sarà accessibile sia tramite chiamate AJAX lato client (da Ember.js) che da un'app mobile Android nativa (standard Richieste HTTP).
sto cercando in due cose:
1) l'autenticazione - come sapere quale utente sta accedendo all'API, in fase di sviluppo Ho usato una chiave API per ciascun utente e la passò nell'intestazione della richiesta
2) sicurezza: come assicurarsi che solo i veri utenti autenticati accedano ai dati privati.
le chiavi API sono una buona strategia sia per i client mobili nativi che per le chiamate AJAX? (l'utente invia l'utente + passa all'API e riceve una chiave API, che viene quindi utilizzata per creare richieste aggiuntive)
dovrei guardare qualcosa come OAUTH (1 o 2)? Al momento non ho piani per le applicazioni di terze parti per accedere all'API, quindi non ho bisogno di autorizzazione, ma questo può cambiare in futuro.
significa che devo avere il mio server di provider OAUTH?
OAuth sarebbe una buona soluzione esistente e generica per il tuo problema che risolve anche una serie di possibili problemi futuri. C'è qualche ragione per non usarlo? – mtsr
Non ho alcuna esperienza con OAuth, quindi ho chiesto prima la strategia .. devo eseguire il mio server provider OAuth? –
Hai ricevuto la risposta adesso? Ho lo stesso puzzle. –