两条腿的 OAuth 和私有 API？

Question

我最近阅读了一个关于简单、安全的 API 身份验证系统的问题，并看到 2-腿式 OAuth 是一个很好的解决方案。但是假设我只是在创建自己的 iPhone 应用程序，并且希望它能够与我自己的私有 API 进行交互。两条腿的 OAuth 适合这种情况吗？采取这条路线有什么缺点吗？

Answer 1

iPhone 客户端的用户是否正在与某人一起登录，或者您只是想验证客户端的身份？

如果是前者，则使用 oauth 并让用户登录到某个 openid 提供商。这实际上就是这个意思。

如果是后者（听起来这就是您正在做的事情），只需创建一些秘密并将其作为 get 请求附加到所有内容并通过 https 进行操作。这听起来很不安全，但你做的任何其他事情都会同样糟糕。您制作的任何加密/w/e 解决方案都将涉及将秘密写入您的代码中。如果有人掌握了这个秘密（例如通过反编译器），那么他们就可以伪造您使用的系统。