¿Es sensato utilizar OAuth cuando la información de la cuenta de usuario (identificaciones de usuario, contraseñas, roles, etc.) se mantendrá en nuestro propio back-end y cuando no habrá ningún intercambio de recursos con otros sitios? ¿O está compartiendo el objetivo de usar OAuth?¿OAuth es una buena opción para la API RESTful en este escenario de SaaS?
Antecedentes:
estoy trabajando en el desarrollo de un producto SaaS de la empresa y estamos creando una API REST para ser utilizado por nuestras aplicaciones de front-end. Los consumidores de la API serán aplicaciones de navegador y de teléfono inteligente nativo (iOS & Android) que desarrollamos. Dado que admitiremos varios tipos de clientes, tiene sentido crear una API RESTful que todas nuestras aplicaciones cliente puedan consumir.
Naturalmente, necesitamos asegurar esta API RESTful. Estamos considerando la autenticación mediante HTTPS/Basic Auth, pero conocemos algunos de los inconvenientes conocidos de este enfoque.
Algunas investigaciones rápidas muestran que OAuth es muy recomendable. Pero la mayoría de lo que encuentro con OAuth se encuentra en el contexto de la autorización de sitios web para compartir información en nombre del usuario.
Cualquier información si es bienvenida.
Eso es de tres legged OAuth. También hay oauth de dos patas, que es lo que puede necesitar. – aitchnyu