wordpress - 将 OAuth2 或 JWT 用于带有 Wordpress 后端(REST API)的移动应用程序
问题描述
所以..我已经阅读了无数文章,但仍然无法决定使用哪个;如果一个简单的 JSON Web Token 就足够了..
我有一个 Wordpress 网站和该网站的移动应用程序。
我可以使用电子邮件和密码登录我的网站,也可以使用电子邮件和密码登录我的移动应用程序。
移动应用程序通过 Wordpress REST API 与网站通信。它(移动应用程序)将用户电子邮件和密码发送到 API,如果两者都有效,则 API 返回 JWT。
然后,我只是将 JWT 存储在用户的设备中。
我的主要疑问是:
对于一个没有太多敏感用户数据的移动应用程序,这是否足够可接受/安全?
对于具有敏感用户数据的移动应用程序,这是否足够可接受/安全?
或者我应该在这两种情况下都使用 OAuth2(这更难实现并且需要时间,但它更安全(我认为..))?
谢谢,如有重复请见谅。
解决方案
这更像是您可能必须采取的安全合规决策。
首先,您应该像产品负责人一样思考,或者通过向产品负责人解释 OAuth 2.0 与简单 JWT 相比有哪些优势来询问产品负责人使用哪个。
您可能需要考虑以下事项,
- 用户群的规模是多少?
- 您要存储的数据有多敏感?
- 您想为用户提供什么样的用户体验?
此外,JWT 并不意味着它不够安全。
为了使其更安全,您可以做的另一件事是使用刷新令牌机制为您的 JWT 添加过期时间,即使 JWT 被暴露,它也会在稍后的某个时间过期。
推荐阅读
- php - 在while内多次中断并返回重复
- c# - 为 2 个表编写一个 LINQ 查询
- ios - 朝弓面对的方向射箭
- python - 将数组分解为组件数组
- selenium-webdriver - 机器人未检测到 Web 元素
- android - 如何获取图像视图的触摸点
- meteor - 在我的应用程序中运行流星会引发错误:ENOENT:没有这样的文件或目录
- javascript - 有没有办法使用函数的参数来使用点符号定位对象中的项目?
- javascript - Javascript var在计算中不起作用
- sql-server - 根据插入的 scope_identity() 在 SQL Server 中设置列的值