基于Web的认证和Web API

2018-06-14 11:12:02

我正在为我的服务构建一个公共Web API。它将同样被网页和原生移动应用程序（iOS，Android和Windows 8）所使用。

我应该使用基于cookie的身份验证吗？我的意思是，这是这种情况下的最佳做法吗？

更多信息：
在认证/授权/ openId-connect领域进行了一些研究后，我意识到大部分内容都是由浏览器处理的，我的意思是，重定向，coockie插入和相关的“锅炉板”关于我将不得不在我的原生应用程序中复制的所有锅炉板，我想知道该模型是否适用于移动应用程序。我的意思是，也许更多的移动原生友好的方式...

Ps：我知道这还是一个普通的东西，只不过我是安全领域的先行者，我不知道如何恰当地表达我的怀疑/担忧/“懒惰”......

API本身应该是无状态的，而不是管理任何会话。每个对API的请求都应该使用认证详细信息（例如OAuth令牌）。

如果Web页面和移动应用程序需要维护某种会话，那么应该由它们作为服务的客户端来维护该状态。例如，网页可能会为用户设置会话Cookie，但原生移动应用可能需要完全不同的方法。

另请参阅：如果REST应用程序应该是无状态的，那么您如何管理会话？

链接地址: http://www.djcxy.com/p/41157.html

上一篇: based authentication and web API

下一篇: User Authentiation Using Backbonejs and SLIM Framework