Chciałbym zaoferować uwierzytelniony dostęp API do mojej aplikacji internetowej. Konsumentami takiej usługi są zazwyczaj inne witryny/usługi.Najlepsza metoda uwierzytelniania zapewniająca dostęp API do aplikacji Railsowej
Jaka byłaby najlepsza metoda uwierzytelniania tych użytkowników? OAuth, openID, uwierzytelnianie http?
Ponieważ tak wiele w naszej pracy, w odpowiedzi na jest "to zależy". :)
Uwierzytelnianie HTTP - Jeśli już pozwalając klientom zalogować się do serwisu za pomocą identyfikatora i hasła, prawdopodobnie będziesz mieć jedynie zrobić minimalną pracę, aby uzyskać to, aby grać dobrze z telefonem API. Jeśli Twój interfejs API jest w zasadzie jednolity i nie wymaga szczegółowych uprawnień, możesz szybko uzyskać coś, co działa tutaj.
API Token - Jeśli chcesz, aby klienci mogli łatwo uwierzytelnić bez podawania hasła (myślę że firmy, które budują usługę, która współdziała z API;.. Może dept nie chce dev team znając hasła, itp.), a następnie dołączenie losowego tokena API à la GitHub do konta użytkownika jest prawdopodobnie najszybszą drogą. Jako bonus możesz podać metodę regeneracji tokenu interfejsu API bez konieczności zmiany hasła do konta.
OAuth - Jeśli masz wiele uprawnień lub chcesz drobniejsze szczegółową kontrolę nad tym, jak i kiedy klient może uzyskać dostęp do API, OAuth jest całkiem dobry zakład (OAuth2 jest znacznie łatwiej pracować, IMO, a także wspiera multiple methods of obtaining an access token). Ponadto wiele języków ma biblioteki, klejnoty itp., Które pozwolą im uprościć przepływ pracy OAuth.
Powiedziałbym, że "najlepszą" metodą jest OAuth. Jest bardziej elastyczny i może być niezależny od aplikacji do dalszych zastosowań. Używam oAuth do uwierzytelniania moich klientów (aplikacje).
;? „Która jest najlepsza”)