Oauth2很适合第三方(公司外部App)调用服务器端API进行数据交互,但是在公司内容产品(客户端App和服务器端都自己开发)用Oauth2显得过于复杂。
现在很多公司现在都采用前端框架和后端API去开发网站,采用cookie进行身份认证,感觉这种模式也很适合公司内部产品App与服务器端交互。
综上所述:
- 第三方App调用公司内部API,可以采用Oauth2的方式进行身份认证,那么公司内部App调用自己的服务器API有必要也采用这种方式么 ?
- 也有人说Oauth2适合做授权,并不是所谓的认证
大家怎么看或者有没有好的建议处理上面的问题?
OAuth 2 一般不适用公司内部 API 调用,因为它的主要目的是解决资源授权的问题,而且 OAuth 2 里面角色对于 C/S 结构的 app 来说太过于繁杂了,不太有必要折腾。
移动 app 比较简单的方法还是使用 token(一种类似与 http cookie 的东西),登录之后得到 token,任何请求都必须带上它。因为是内部账户体系,登录也可以直接使用用户名密码,验证成功服务器就返回 token,没有必要做各种 code/token 交换的事情。
不过如果公司资源变得非常独立和分离了,OAuth 2 还是很有价值的。在我的公司,为了让公司内部统一用户名密码,我就实现了一个基本的 OAuth 2 流程,负责给各种内网网站授权,确实比较方便。
RESTful API, 做数字签名,保证每条请求的唯一性,应该可以满足你的需求