保护移动设备的Web API

Question

我们为我们的本地搜索网站提供了一个API，该API用于移动应用程序。

目前，

• 的API是不公开
• 没有用户数据提供的API在
• 运行在HTTP上

我想，以确保我们的数据被发送通过API。我已经做了一些研究，看起来像Oauth是要走的路线

• Oauth是正确的方法吗？ （我们现在使用2个双向oauth，但是如果我们需要用户许可，我们将会移动到3个双向oauth）
• 我们是否需要https来获取API？自签名证书工作正常吗？

Answer 1

Oauth最适合涉及第三方（提供商）的场景。例如：使用Facebook登录。

如果用户必须登录到您的服务才能访问该API，则可以使用基本身份验证。 （通过https将证书附加到Http头部）

最后：是的，你需要Https。如果您控制客户端和服务器，则自签名证书可以工作。例如，对于Android的，你可以导入证书）：

http://developer.android.com/training/articles/security-ssl.html（自签名服务器证书一节）

但是，如果你正在创建一个Web客户端，用户将获得信任的网站警告。