L'utilizzo principale di OAuth
consiste nel rendere le app di terze parti autorizzate ad accedere a risorse private di un utente su un sito Web senza fornire le credenziali dell'utente all'app di terze parti. Ad esempio, supponi che Twitter desideri ottenere l'elenco dei contatti dal tuo account Yahoo. Il modo tradizionale è quello di fornire il nome utente e la password a Twitter. Ma con OAuth
, si dà loro un segnale temporaneo (chiamato Access Token
) che autorizza Twitter accedere ai tuoi contatti su Yahoo per un periodo di tempo limitato (fino a quando questo token scade o voi, come il proprietario della risorsa privata, in modo esplicito revocarlo).
Detto questo, OAuth
non riguarda la trasmissione sicura dei dati sul web. Questa è un'altra storia che viene solitamente ottenuta usando SSL
. Anche quando si utilizza OAuth
, è necessario utilizzare SSL
insieme per assicurarsi che i dati vengano inviati e ricevuti in modo sicuro.
Quindi nel tuo caso, devi vedere a cosa serve l'API. Se si tratta di un'API pubblica che non fornisce dati personali ai chiamanti, non è necessario utilizzare OAuth
. Se l'API è per accedere alle risorse private dei singoli utenti, tuttavia, puoi prendere in considerazione l'utilizzo di OAuth
. Se si sceglie di implementare OAuth
, è possibile consentire ad altre app di terze parti di accedere alla propria API in futuro senza alcun problema.