REST API Authorization & Authentication (Web + Mobile)
我读过关于oAuth,Amazon REST API,HTTP Basic/Digest等的文章,但无法将它们全部放入“单件”中。这可能是最接近的情况 - 为移动应用程序创建API - 身份验证和授权
我想建立以API为中心的网站 - 服务。因此(一开始),我会在中心有一个API,网站(PHP + MySQL)将通过cURL,Android和iPhone通过其网络接口进行连接。所以3个主要客户端 - 3个API密钥。任何其他开发人员也可以通过API接口进行开发,他们将获得自己的API密钥。API操作将根据userLevel状态被接受/拒绝,如果我是管理员,我可以删除任何内容等,所有其他操作只能操作其本地(帐户)数据。
首先,授权 - 我应该使用oAuth + xAuth还是我自己的某种实现(请参阅 http://docs.amazonwebservices.com/AmazonCloudFront/latest/DeveloperGuide/RESTAuthentication.html?r=9197)?据我所知,在亚马逊服务上,用户是==API用户(有API密钥)。在我的服务上,我需要将标准用户/帐户(在网站上注册的用户)和开发人员帐户(应该拥有其API密钥)分开。
因此,我首先需要授权 API 密钥,然后对用户本身进行身份验证。如果我使用亚马逊的方案来检查开发者的 API 密钥(授权他们的应用),我应该使用哪个 sheme 进行用户身份验证?
我读到了关于通过(通过HTTPS,HTTP Basic)发布我的用户名和密码后获得令牌的信息,然后在每次以下请求时转发它。如果我同时登录 Android 和网站,如何管理令牌?如果我只在第一次请求(传输用户名和密码时)使用SSL,而每隔一次只使用HTTP,那么中间人攻击呢?在此示例中,这不是保护 REST 服务的密码问题吗?api.example.org/auth
