Ich möchte authentifizierten API-Zugriff auf meine Web-App anbieten. Die Verbraucher eines solchen Dienstes sind typischerweise andere Websites/Dienste.Beste Authentifizierungsmethode, um API-Zugriff auf Rails-App zu gewähren
Was wäre die beste Methode zur Authentifizierung dieser Benutzer? OAuth, OpenID, HTTP-Authentifizierung?
Wie so vieles in unserer Arbeit, die Antwort auf ist "es kommt darauf an." :)
HTTP-Authentifizierung - Wenn Sie bereits Kunden einloggen, um Ihren Dienst über eine ID und ein Passwort zu lassen, werden Sie wahrscheinlich nur minimale Arbeit zu tun haben, um diese gut zu spielen mit Ihrem API. Wenn Ihre API im Grunde genommen nur aus einem einzigen Zweck besteht und keine detaillierten Berechtigungen erfordert, können Sie hier etwas schnell arbeiten lassen.
API Token - leicht in der Lage sein zu authentifizieren, ohne ein Passwort bereitstellt (man denke an Unternehmen, die einen Dienst aufzubauen, die mit Ihrem API interagiert Wenn Kunden;.. Vielleicht die IT-Abteilung nicht will das Dev-Team Kenntnis der Passwörter, usw.), dann ist das Zufügen eines zufälligen API-Tokens à la GitHub zum Benutzerkonto wahrscheinlich der schnellste Weg. Als Bonus können Sie eine Methode zum Generieren des API-Tokens bereitstellen, ohne das Kontopasswort ändern zu müssen.
OAuth - Wenn Sie mehrere Berechtigungen oder wollen eine feinere Kontrolle darüber, wie und wann ein Client API zugreifen können, haben, OAuth ist eine ziemlich gute Wette (OAuth2 ist viel einfacher, mit zu arbeiten, IMO, und unterstützt multiple methods of obtaining an access token). Darüber hinaus verfügen viele Sprachen über Bibliotheken, Edelsteine usw., mit denen sie den OAuth-Workflow vereinfachen können.
Ich würde sagen, die beste Methode ist oAuth. Es ist flexibler und kann für weitere Anwendungen unabhängig verwendet werden. Ich verwende oAuth, um meine Clients (Anwendungen) zu authentifizieren.
; "? Das beste ist")