保护移动设备的 Web API

Question

我们有一个用于本地搜索网站的 API，该 API 用于我们的移动应用程序。

目前，

• 该 API 不是公开的
• API 中未提供任何用户数据
• 通过 http 运行

我想保护通过 API 发送的数据。我做了一些研究，看起来 Oauth 是正确的方法

• Oauth 是正确的方法吗？ （我们目前将使用 2 条腿的 oauth，但将来如果我们需要用户许可，我们将转向 3 条腿的 oauth）
• 我们的 API 需要 https 吗？自签名证书可以正常工作吗？

Answer 1

Oauth 最适合涉及第三方（提供商）的场景。例如：使用 Facebook 登录。

如果用户必须登录您的服务才能访问 API，您可以使用基本身份验证。 （通过 Https 将凭据附加到 Http 标头）

最后：是的，您需要 Https。如果您控制客户端和服务器，自签名证书就可以工作。例如，对于 Android，您可以导入证书）：

http://developer.android. com/training/articles/security-ssl.html（自签名服务器证书部分）

但是，如果您正在创建 Web 客户端，用户将收到不受信任站点的警告。