認證
,一種是Basic Auth,一種是OAuth。
1、Basic Auth(HTTP Auth)
。這種方式優點和缺點都很明顯。
優點:
u 使用非常簡單,
u 開發和調試工作簡單,
u 沒有複雜的頁面跳轉邏輯和互動過程;
u 更利於發起方控制;
缺點:
u 安全性低,每次都需要傳遞用戶名和密碼,用戶名和密碼很大程度上存在被監聽盜取的可能;
u 同時套用本地還需要保存用戶名和密碼,在套用本身的安全性來說,也存在很大問題;
u 開放平台服務商出於自身安全性的考慮(第三方可以得到該服務商用戶的賬號密碼,對於服務商來說是一種安全隱患),未來也會限制此認證方式(Twitter就計畫在6月份停止Basic Auth的支持)
u 用戶如果更改了用戶名和密碼,還需要重新進行密碼校驗的過程。
2、OAuth
OAuth為用戶資源的授權提供了一個安全、開放的標準,將會是以後開發平台普遍遵守的,目前Twitter、Sina微博、豆瓣、Google等都提供對它的支持。它分為幾個互動過程:
1)套用用APP KEY和APP SECRET換取OAuth_token;
2)套用將用戶引導到服務商的頁面對該OAuth_token進行授權(可能需要輸入用戶名和密碼);
3)服務商的頁面跳轉回套用,套用再根據參數去服務商獲得Access Token;
4)使用這個Access Token就可以訪問API了。
上述過程如下圖所示:
OAuth認證過程
OAuth的優點:
u 安全性高,用戶的賬戶和密碼只需要提供一次,而且是在服務商的頁面上提供,防止了Basic Auth反覆傳輸密碼帶來的安全隱患;
u Access Token訪問許可權僅限於套用,被竊取不會影響用戶在該服務商的其他服務;
u Access Token即使被監聽丟失了隨時可以撤銷,不像密碼丟失可能就被別人篡改了;
u 用戶修改了密碼也不會影響該套用的正常使用。