Двуногий OAuth и приватный API?

Question

Я недавно прочитал вопрос о простой и безопасной системе аутентификации API и вижу, что двухсторонний OAuth является хорошим решением. Но, скажем, я просто создаю свое собственное приложение для iPhone и хотел бы, чтобы оно взаимодействовало с моим собственным API. Уместен ли в этой ситуации двухсторонний OAuth? Есть ли у этого маршрута недостатки?

Answer 1

Пользователь клиента iphone входит в систему с кем-то или вы просто пытаетесь аутентифицировать клиента?

Если первое, то используйте oauth и попросите пользователя войти в какой-либо провайдер openid.Это на самом деле то, для чего это предназначено.

Если позже (и это звучит так, как будто вы это делаете), просто создайте какой-нибудь секрет и добавьте его как запрос get ко всему и работайте через https.Это звучит небезопасно, но все, что вы делаете, будет так же плохо.Любое крипто / ж / е решение, которое вы создадите, будет включать в себя внесение секрета в ваш код.Если кто-то захватит этот секрет (например, через декомпилятор), то он может все равно подделать систему, которую вы используете.