Natknąłem się na wiele artykułów i wiele sugeruje użycie klucza OAuth over API. Z mojego zrozumienia, w OAuth, w końcu otrzymujemy token dostępu i jest on ważny przez wiele dni. Jednym z przykładów jest to, że token Oszczędnościowy w trybie online QuickBooks jest ważny przez 6 miesięcy.OAuth (token dostępu) Klucz interfejsu Vs API
Tak więc token dostępu jest równoważny kluczowi API. Ktokolwiek ją dostanie, powinien ją zabezpieczyć podobnie jak klucze API. Połączenia OAuth powinny być nawiązywane za pośrednictwem protokołu HTTPS, podobnie jak w przypadku wywołań opartych na klawiszach API.
Kolejną przewagą nad OAuth jest autoryzacja. Ale możemy zrobić to samo z modelem klucza API. Na przykład, możemy zdefiniować reguły w naszej bazie danych, takie jak te klucze API mają dostęp do tych API.
Teraz, jaka jest prawdziwa zaleta OAuth? Jeśli wdrażamy protokół OAuth, musimy poprosić wszystkich naszych klientów o zainstalowanie bibliotek obsługujących protokoły OAuth na swoim serwerze. I jest to złożone zadanie dla nich, a także dla nas. Natomiast w kluczowym modelu API jest to proste połączenie internetowe, bez innych dodatkowych bibliotek i złożoności.
Moim zamiarem jest po prostu lepsze zrozumienie protokołu OAuth i porównanie go z modelem klucza API.
Uwaga:
Nie mówię o Google & LinkedIn rodzaju modelu, w którym użytkownicy mogą zobaczyć i dać uprawnienia. Mówię tylko o interfejsach API, które udostępniamy naszym klientom.
Dzięki za pomoc z góry.
Myślę, że ktoś już zadał to pytanie http://stackoverflow.com/questions/6767813/api-keys-vs-http-authentication-vs-oauth-in-a-restful-api –
Tak. Cały opis odpowiedzi znajduje się w moim pytaniu. Dlaczego więc nadal OAuth? Czy to naprawdę przydatne tylko dla tego podejścia typu Google - LinkedIn? I nie ma żadnych rzeczywistych korzyści w małej bazie klientów? – user10