サードパーティが関与していないときにOAuthを実装することは理にかなっていますか

Question

私はREST APIをサーバー側で所有し、それらのAPIを呼び出す個別のWebアプリケーションを所有しています。

API呼び出しを保護したい。

少し読んだ後、OAuth 1.0aメカニズムをサーバー側に実装します。実際、一時的なトークンやノンスなどの処理は、依存する従来のHTTP基本ソリューションよりもはるかに安全です。 SSL暗号化に強く。

しかし、私がWebで見つけたほとんどの例では、OAuthは本質的に、リソースの所有者（Facebook、Twitterなど）からの一部のデータにアクセスするための手段ではないようです）ユーザーが対応する資格情報を自分のアプリに送信するため。

私の質問は、OAuthを実装するのは理にかなっていますか。私のアクターが自分のWebアプリケーションであり、サーバー側の自分のAPIのセットである場合、サードパーティから提供される外部データはありません。かかわった）確かに、私は本当にそのアルゴリズムの恩恵を受けたいと思っています。

AJ Henderson · Accepted Answer

ユーザーにそのレベルの分離を提供したい場合は、（実際のユーザーアカウントデータを共有できるため）独自のシステムに対して認証するときにOAuthのように複雑にする必要はありませんが、サーバー、次にOAuthを使用してもまだ利点があります。その時点で、スタンドアロンOAuthプロバイダーを実装するだけで、さまざまなサービスがシステム全体でシングルサインオン。

OAuthアカウントを他のサイトで使用できるようにすることで、必要に応じて、ユーザーが他のサービスのシングルサインオンとして自分のプロファイルを使用できるようにすることもできます。