php - 在为移动应用程序设计登录时,我是否需要 OAuth 进行用户身份验证?
问题描述
我正在尝试设计一个移动应用程序,但我对实现安全性所需采取的路径有些怀疑。
最初我认为 OAuth2 是必需的,但在网上搜索了一番后,我得出结论(希望是正确的),当我希望用户使用他们用来在我的帐户中创建帐户的凭据对其他应用程序进行身份验证时,使用了 OAuth应用。
所以现在我的问题是:
- 我对 OAuth 用例的理解正确吗?
- 如果不需要 OAuth,那么将用户名和密码传递给 api 以创建帐户就足够了吗?
- 在发出 api 请求时,我如何能够严格访问属于已登录用户的数据?(这仍然基于会话,例如登录网站吗?)
解决方案
我假设您没有编写 oauth 服务
- 是的,在这种情况下,google、github 等他们为您验证用户并重定向到您提供的重定向 url。
- 这意味着您正在使用基本身份验证RFC 7616并且据我所知,它不如不记名身份验证RFC 6750安全。
- 这应该由您的应用程序处理,外部 oauth 应用程序只会进行初始身份验证。githubs oauth 流程
推荐阅读
- vba - 在 Attr 级别替换特殊字符
- git - Github - 贡献甚至没有显示邮件和用户名设置
- python - 计算每个 store_id 有多少文章的最小时间戳
- python - 如何仅将 conftest.py 中的夹具应用到内部文件夹
- java - 从父 jdialog 打开时,子 JDialog 显示为空白
- r - 有没有办法重新分配 R 访问器函数并使用它来更新它访问的变量属性?
- javascript - 如何更改 Google 矢量地图的 mapId?
- javascript - Vue Test Utils - 如何挂载使用插件的组件(在本例中为 vue-unique-id)
- c++ - CodeBlocks没有这样的文件,没有输入文件错误,使用GCC cygwin编译器
- gitlab - 触发标签和手动作业的跨项目管道