15
मैं एक विश्वसनीय API तैयार कर रहा हूं जो हमेशा HTTPS पर संवाद करेगा। क्या एचटीटीपीएस पर चलते समय ओएथ जैसी योजना का उपयोग करने का कोई कारण है? मुझे विशेष रूप से दिलचस्पी है कि एचएमएसी-हस्ताक्षरित अनुरोध, नॉन और टाइमस्टैम्प जैसे पहलू उपयोगी हैं जब संपूर्ण संचार एन्क्रिप्ट किया जाता है।क्या ओएथ अप्रासंगिक है जब HTTPS का उपयोग किया जाता है?
ऐसा लगता है कि HTTPS पर कोई प्रमाणीकरण योजना पर्याप्त है लेकिन मैं सिर्फ दूसरी राय प्राप्त करना चाहता था।
ओएथ आपके एपीआई को उपयोगकर्ता अनुमति मांगने में सक्षम कर सकता है, जब तृतीय पक्ष ऐप आपके उपयोगकर्ताओं की ओर से एपीआई का उपयोग करना चाहता है। दूसरा लाभ यह है कि यदि आप अपने एपीआई को कुछ तृतीय पक्ष आवेदन (उपभोक्ता) द्वारा उपयोग करने के लिए और अलग-अलग उपभोक्ताओं को विभिन्न अनुमतियों और स्तर तक पहुंच को विभाजित करने की रक्षा करना चाहते हैं। यदि उपयोगकर्ता अनुमति की आवश्यकता नहीं है, और API उपयोग केवल मूल प्रमाणीकरण से प्रतिबंधित होगा, और कोई API स्तर पहुंच की आवश्यकता नहीं है, तो मूलभूत प्रमाणीकरण वाले HTTPS पर्याप्त हैं। – middlehut
मेरे पास यह सटीक परिदृश्य है 'यदि उपयोगकर्ता अनुमति की आवश्यकता नहीं है, और API उपयोग केवल मूल प्रमाणीकरण से प्रतिबंधित होगा, और कोई एपीआई स्तर पहुंच की आवश्यकता नहीं है' और HTSPS पर डब्ल्यूएस है लेकिन मुझे क्लाइंट को स्टोर करने की आवश्यकता नहीं है बाद में कॉल के लिए लॉगिन करने के बाद उपयोगकर्ता नाम/पासवर्ड! –