Каков наилучший способ получить пароли для базовой аутентификации в API и почему?

Question

Создайте здесь API, и я хочу, чтобы люди могли создавать простые мобильные приложения, которые могли бы получать имя пользователя / пароль моих пользователей и их взаимодействия с моим сервером. Поэтому мне нужно иметь базовую аутентификацию (OAuth и другие материалы также будут поддерживаться, в основном для другого варианта использования). Прямо сейчас у меня есть пример из Книги, где я могу просто получить (незашифрованный) пароль как часть поста и, глядя на успешные API, вижу, что твиттер получает незашифрованные пароли в заголовках своего HTTP-запроса.

Другой вариант - получить хэши md5 или SHA1, но без секретной соли это похоже на бесполезное упражнение. Я спросил пару человек, и у всех была другая (сильная и эвристическая) точка зрения, так что ...

Каков наилучший способ получить пароли для базовой аутентификации в API и почему?

Answer 1

Э-э, не не выдают пароли ваших пользователей другим приложениям. Или через ваш API. Или когда-либо. В любом случае они должны храниться в одном направлении (т.е. хешироваться).

Но я не уверен, что ты так говоришь. Вы говорите об OAuth (который вы можете использовать для генерации токенов , которые позволяют API получать доступ к различным компонентам вашей системы, потому что пользователь говорит, что это возможно).

Например, допустим, вы хотите разрешить пользователям API запрашивать свойства определенных пользователей (скажем, их местоположение), затем вы создаете токен для этого доступа через OAuth, и вызывающий API передает его. По крайней мере, это мое понимание модели. Очевидно, вам следует просмотреть веб-сайт OAuths и найти подходящую реализацию для вашего языка.