Является ли OAuth неуместным при использовании HTTPS?
Я разрабатываю RESTful API, который всегда будет связываться через HTTPS. Есть ли какая-нибудь причина использовать такую схему, как OAuth при работе с HTTPS? Меня особенно интересует, полезны ли такие аспекты, как HMAC-подписанные запросы, nonces и timestamps, когда вся коммуникация зашифрована.
Кажется, что любая схема аутентификации по HTTPS достаточна, но я просто хотел получить второе мнение.
Ответы
Ответ 1
Хорошо, что вся теория, лежащая в основе OAuth 2. Вместо сложных сигнатурных механизмов OAuth 1 вы просто полагаетесь на безопасность на транспортном уровне и сосредоточиваетесь на части авторизации головоломки. Протокол HTTPS не решает часть авторизации, поэтому для этого вам все равно нужен OAuth 2.