15
Estoy diseñando una API RESTful que siempre se comunicará a través de HTTPS. ¿Hay alguna razón para usar un esquema como OAuth cuando se ejecuta a través de HTTPS? Estoy particularmente interesado si aspectos como las solicitudes firmadas por HMAC, nonces y las marcas de tiempo son útiles cuando toda la comunicación está encriptada.¿OAuth es irrelevante cuando se usa HTTPS?
Parece que cualquier esquema de autenticación a través de HTTPS es suficiente, pero solo quería obtener una segunda opinión.
OAuth puede habilitar su API para solicitar el permiso del usuario, cuando la aplicación de terceros desea utilizar la API en nombre de sus usuarios. El otro beneficio es en caso de que quiera proteger su API para que sea utilizada por cierta aplicación de terceros (consumidor), y para dividir diferentes permisos y acceso a nivel a diferentes consumidores. Si no se requiere el permiso del usuario, y el uso de la API estará restringido solo por la autenticación básica, y no se necesita acceso a nivel de API, tal vez sea suficiente HTTPS con autenticación básica. – middlehut
Tengo este escenario exacto 'Si no se requiere permiso del usuario, y el uso de la API estará restringido solo mediante autenticación básica, y no se necesita acceso a nivel API' y WS a través de HTTPS, pero no necesito hacer que el Cliente lo almacene el nombre de usuario/contraseña una vez que inicie sesión para llamadas posteriores! –