Является ли OAuth неуместным при использовании HTTPS?

Я разрабатываю RESTful API, который всегда будет связываться через HTTPS. Есть ли какая-нибудь причина использовать такую ​​схему, как OAuth при работе с HTTPS? Меня особенно интересует, полезны ли такие аспекты, как HMAC-подписанные запросы, nonces и timestamps, когда вся коммуникация зашифрована.

Кажется, что любая схема аутентификации по HTTPS достаточна, но я просто хотел получить второе мнение.

Ответы

Ответ 1

Хорошо, что вся теория, лежащая в основе OAuth 2. Вместо сложных сигнатурных механизмов OAuth 1 вы просто полагаетесь на безопасность на транспортном уровне и сосредоточиваетесь на части авторизации головоломки. Протокол HTTPS не решает часть авторизации, поэтому для этого вам все равно нужен OAuth 2.