我有暴露了REST API一個LAMP堆棧的web應用。目標是有3層 - 數據庫,服務(REST)和多個前端客戶端(網站,Android,iPhone)。目前,這些層級都在同一個框中。該網站使用API調用CRUD操作的服務邏輯,移動客戶端尚未建成。的OAuth 2移動客戶端,我自己
我使用的是PHP bcrypt執行,以存儲用戶憑據。這是設計慢/ CPU密集型的。每個API調用都需要一個用戶名/密碼對以及API參數。這將阻礙大規模擴展,因爲散列是通過每個API調用計算的。
所以,我一直在尋找替代品。 OAuth 2.0使用可撤銷的令牌,這些令牌使用起來並不昂貴,但我讀過的文章似乎暗示了此協議的主要用途是讓第三方訪問我的API。這不太適合我的模式,例如,移動客戶端由我擁有。
是OAuth的只是爲了與第三方使用,或者是典型的一家公司爲其移動客戶端添加OAuth的消費者對於自己的API?
是否還好捆綁使用Android/iPhone應用程序,我發佈到應用程序市場共享的祕密,使他們能夠立即與API關聯?