我即将从头开始构建一个社区平台。我们将首先创建 WebServices,并且社区可能有一些第三方组件,因此拥有可靠的 WebServices 是个好主意。
由于服务是无状态的,我们需要对每个调用进行身份验证。尽管我们现在是唯一的消费者,但为我们的服务提供者实施 OAuth 协议来执行此任务是否是个好主意?
顺便说一句:我们会在网站启动之前提供移动应用程序。
【问题讨论】:
标签: google-app-engine rest oauth
OAuth 的全部意义在于允许其他网站(消费者)访问您的数据(您是提供者)。由于您是数据的唯一消费者,因此在此开发阶段无需实施 OAuth。
精益求精,快速构建一些东西,并把它放在用户/测试人员面前。只有在这一点上,您才会发现真正的错误并获得有关服务的反馈,以便您可以改进它并引导开发朝着正确的方向发展。
注意: OAuth as provided by App Engine(第二段)仅支持拥有 Google 帐户的用户(即使使用了 OpenID)。
【讨论】:
id 和可能email 之外,您不要求任何范围。这是正确验证 Android 用户身份的唯一方法。
根据我的经验,我以与身份验证无关的方式创建了 REST WS:jersey 方法接受所有内容,然后有几个过滤器来验证请求。 我对 Web 部件使用 OpenId 身份验证,对 API 使用 OAuth 和 BASIC AUTHENTICATION(使用 SSL)。
可能不需要从一开始就创建所有内容,但请记住尽可能将 REST 端点与身份验证分离:当您想要发布 API 时,您将受益匪浅。
最后一个“哲学”的东西:OAuth 不是完全无状态的,实际上你有一个临时令牌来验证用户,它类似于浏览器中的会话!
【讨论】: