将 OAuth2 或 JWT 用于带有 Wordpress 后端的移动应用程序 (REST API)
Use OAuth2 or JWT for mobile application with Wordpress backend (REST API)
所以..我已经阅读了无数文章,但仍然无法确定使用哪一个;如果一个简单的 JSON Web Token 就足够了..
我有一个 Wordpress 网站和该网站的移动应用程序。
我可以使用电子邮件和密码登录我的网站,也可以使用电子邮件和密码登录我的移动应用程序。
移动应用程序通过 Wordpress REST API 与网站通信。它(移动应用程序)将用户电子邮件和密码发送到 API,如果两者都有效,则 API returns JWT。
然后,我只是将 JWT 存储在用户的设备中。
我的主要疑惑是:
对于没有太多敏感用户数据的移动应用程序,acceptable/safe 够了吗?
对于具有敏感用户数据的移动应用程序,acceptable/safe 是否足够?
或者我应该在这两种情况下都使用 OAuth2(这更难实施并且需要时间,但它更安全(我认为..))?
谢谢,如有重复,我们深表歉意。
这更像是您可能必须做出的安全合规性决定。
首先,您应该像产品所有者一样思考,或者通过向产品所有者解释 OAuth 2.0 相对于简单的 JWT 有哪些优势来询问产品所有者。
您可能需要考虑以下事项,
- 用户群的规模是多少?
- 您要存储的数据有多敏感?
- 您想为用户提供什么样的用户体验?
此外,JWT 并不意味着它不够安全。
为了使它更安全,您可以做的另一件事是使用刷新令牌机制为您的 JWT 添加到期时间,这样即使 JWT 被公开,它也会在稍后的某个时间过期。
所以..我已经阅读了无数文章,但仍然无法确定使用哪一个;如果一个简单的 JSON Web Token 就足够了..
我有一个 Wordpress 网站和该网站的移动应用程序。
我可以使用电子邮件和密码登录我的网站,也可以使用电子邮件和密码登录我的移动应用程序。
移动应用程序通过 Wordpress REST API 与网站通信。它(移动应用程序)将用户电子邮件和密码发送到 API,如果两者都有效,则 API returns JWT。
然后,我只是将 JWT 存储在用户的设备中。
我的主要疑惑是:
对于没有太多敏感用户数据的移动应用程序,acceptable/safe 够了吗?
对于具有敏感用户数据的移动应用程序,acceptable/safe 是否足够?
或者我应该在这两种情况下都使用 OAuth2(这更难实施并且需要时间,但它更安全(我认为..))?
谢谢,如有重复,我们深表歉意。
这更像是您可能必须做出的安全合规性决定。
首先,您应该像产品所有者一样思考,或者通过向产品所有者解释 OAuth 2.0 相对于简单的 JWT 有哪些优势来询问产品所有者。
您可能需要考虑以下事项,
- 用户群的规模是多少?
- 您要存储的数据有多敏感?
- 您想为用户提供什么样的用户体验?
此外,JWT 并不意味着它不够安全。
为了使它更安全,您可以做的另一件事是使用刷新令牌机制为您的 JWT 添加到期时间,这样即使 JWT 被公开,它也会在稍后的某个时间过期。