当没有第三方应用程序涉及时需要OAUTH2?

目前我正在尝试使用REST api在node.js中创build一个服务器,以便在Android和iOS中进行的应用程序执行CRUD调用。

当然,我希望这个REST API尽可能的安全。 花费最近几天试图find最好的方法来做这个似乎是一个Oauth2服务器通过HTTPS。

我知道这里有很多,但我无法find任何简单的解释应该如何工作。 所以请不要把这个标记为重复的问题,因为我实际上对此感到困惑。

阅读关于Oauth2 android / ios中的应用程序将需要注册与服务器。 我看到的所有地方都被认为是第三方的应用程序,这不是我的情况。

如果用户决定允许第三方应用程序访问我的REST API,Oauth2似乎更安全。 就像任何支持使用Facebook或G +login的应用程序一样。

但是原始应用程序如何做呢? 像Facebook,Twitter和Google+的官方应用程序?

是否有可能,他们使用Oauth2基本访问/请求眉毛等,但跳过整个用户审批部分,因为它不是第三方的应用程序。 或者他们可能会使用更简单的用户名和密码在标题或通过https发布?

我真的不知道如果我目前不打算添加第三方访问我的api采取什么方式。 什么是一个好的方法来进行?

绝对是! 这就是所谓的two legged authentification (它与存储在授权服务器数据库中的用户凭证一起工作)。 它意味着你的客户端应用程序和你的资源服务器)你可以在这里查看一些文档:

http://blog.nerdbank.net/2011/06/what-is-2-legged-oauth.html

http://oauthbible.com/

和官方规范(第10页,你可以看到我用于我的应用程序的工作stream程): https : //tools.ietf.org/html/rfc6749#section-1.3