是否有一种标准方法可以对 Web API 的应用程序进行身份验证？

Question

我正在考虑构建一个简单的 Web 应用程序，该应用程序将公开一个 API，让第三方（好吧，由我编写，但这不是重点）应用程序查询和修改存储在网站上的用户特定数据。

显然，我不想允许应用程序在未经用户同意的情况下获取用户特定的信息。 我想要某种应用程序身份验证，用户允许他们运行的应用程序使用 Web API 访问他们的信息。

是否有一个标准方法可以实现这一目标，或者每个应用程序（即 rememberthemilk）都只是专门为他们定制解决方案？

Answer 1

OAuth 适合您吗？ 这就是它旨在解决的问题。

Answer 2

如果数据通过 Internet 传输，则还要小心通过 HTTPS 访问您的 Web 服务。 人们煞费苦心地验证他们的网络服务，但随后却让他们容易受到网络嗅探。