Защита веб-API для мобильных устройств - PullRequest
Новая
       3

Защита веб-API для мобильных устройств

3 голосов
/ 07 апреля 2011

У нас есть API для нашего локального поискового веб-сайта, который используется в наших мобильных приложениях.

В настоящее время

  • API не является общедоступным
  • Нетпользовательские данные предоставлены в API
  • работает через http

Я хочу защитить наши данные, которые отправляются через API.Я провел какое-то исследование, и похоже, что Oauth - это путь

  • Является ли Oauth верным способом сделать это?(в настоящее время мы будем использовать двухсторонний протокол oauth, но в будущем, если нам потребуется разрешение пользователя, мы перейдем к трехстороннему протоколу oauth)
  • Нужен ли нам https для API?Будет ли работать самоподписанный сертификат?

1 Ответ

0 голосов
/ 12 ноября 2013

Oauth лучше всего подходит для сценариев, в которых участвует третье лицо (провайдер).Например: войдите с помощью Facebook.

Если пользователь должен войти в вашу службу для доступа к API, вы можете использовать обычную аутентификацию.(Приложите учетные данные к заголовку Http через Https)

Наконец: Да, вам нужен Https.И самозаверяющий сертификат может работать, если вы управляете клиентом и сервером.Например, для Android вы можете импортировать свои сертификаты):

http://developer.android.com/training/articles/security-ssl.html (раздел Самозаверяющий сертификат сервера)

Однако, если вы создаете веб-клиент, пользователь получитпредупреждение для ненадежного сайта.

...