Me gustaría ofrecer acceso API autenticado a mi aplicación web. Los consumidores de dicho servicio suelen ser otros sitios/servicios web.Mejor método de autenticación para otorgar acceso API a la aplicación Rails
¿Cuál sería el mejor método para autenticar a estos usuarios? OAuth, openID, autenticación http?
Como tanto en nuestra línea de trabajo, la respuesta a es "depende" :)
autenticación HTTP - Si ya estás dejando que los clientes se conectan a su servicio a través de un ID y una contraseña, es probable que sólo tendrá que hacer el mínimo esfuerzo para conseguir que esto juega muy bien con su API. Si su API es básicamente de propósito único y no requiere permisos detallados, aquí puede obtener algo que funcione con bastante rapidez.
API Token - Si desea que los clientes sean capaces de autenticar fácilmente sin proporcionar una contraseña (pensar empresas que construyen un servicio que interactúa con su API;.. Tal vez el departamento de TI no quiere que el Dev Team conocer las contraseñas, etc.), y luego adjuntar un token API aleatorio a la GitHub a la cuenta del usuario es probablemente la forma más rápida de hacerlo. Como beneficio adicional, puede proporcionar un método para regenerar el token API sin tener que cambiar la contraseña de la cuenta.
OAuth - Si tiene varios permisos o quiere un control más preciso sobre cómo y cuándo un cliente puede tener acceso a su API, OAuth es una apuesta bastante buena (OAuth2 es mucho más fácil trabajar con, IMO, y soportes multiple methods of obtaining an access token). Además, muchos idiomas tienen bibliotecas, gemas, etc. que les permitirán simplificar el flujo de trabajo de OAuth.
Yo diría que el "mejor" método es oAuth. Es más flexible y puede ser independiente de la aplicación para otros usos. Estoy usando oAuth para autenticar a mis clientes (aplicaciones).
; "¿qué es lo mejor")