Нужен ли OAuth для аутентификации пользователя при разработке логина для мобильного приложения?

Question

Я пытаюсь разработать мобильное приложение, и у меня есть некоторые сомнения относительно пути, по которому я должен идти, чтобы реализовать безопасность.

Сначала я думал, что OAuth2 необходим, но после небольшого поиска по сети я пришел к выводу (надеюсь, правильный), что OAuth используется, когда я хочу, чтобы пользователи проходили аутентификацию в других приложениях, используя учетные данные, которые они использовали для создания своей учетной записи в моем приложении.

Итак, теперь мои вопросы:

1. верно ли мое понимание варианта использования OAuth?
2. если OAuth не требуется, тогда достаточно передать имя пользователя и пароль в API для создания учетной записи?
3. как я смогу получить доступ только к тем данным, которые принадлежат пользователю, вошедшему в систему при выполнении запроса API? (это все еще основано на сеансах, как вход на веб-сайт?)

Answer 1

Я предполагаю, что вы не пишете oauth-сервис

1. Да, в этом случае google, github et c они аутентифицируют пользователя для вас и перенаправляют на URL перенаправления, предоставленный you.
2. Это означало бы, что вы используете basi c auth RF C 7616 и из того, что я слышал, это не так безопасно, как аутентификация на предъявителя RF C 6750 .
3. Это должно обрабатываться вашим приложением, внешнее oauth-приложение будет выполнять только начальную аутентификацию. githubs oauth flow