OAuth рекомендуется для асинхронной передачи данных в собственном веб-приложении?

Question

Я интенсивно использую асинхронные запросы Javascript к веб-серверу. Поскольку я создаю многопользовательское приложение, я хочу ограничить доступ к службам json на уровне пользователя.

Я много читал о том, что OAuth рекомендуется для аутентификации потребителей. В моем случае, будет ли Javascript (клиентская) сторона рассматриваться как потребитель, и, следовательно, вы бы порекомендовали использовать OAuth для этой цели? Если нет, какие альтернативы вы бы порекомендовали?

Answer 1

OAuth лучше всего подходит для предоставления метода, отличного от прямого предоставления имени пользователя и пароля сторонним приложениям или веб-сайтам. Я бы использовал OAuth или что-то подобное только в том случае, если вам необходимо предоставить стороннему доступу к вашему веб-приложению этот тип.

Если JS-клиент будет работать в веб-браузере, который пользователь уже вошел в вашу службу, вы также можете использовать cookie-файл сеанса, который вы уже установили, для аутентификации каждого запроса.

Фактически, такой cookie-файл сеанса будет автоматически передаваться как часть любого XHR вашему веб-сервису.