既存のアプリケーションに REST レイヤーを実装しています。ユーザー ID とパスワードをデータベースに保存しており、REST サービスを呼び出すときにこれらの資格情報を認証したいと考えています。これはスタンドアロン アプリケーションであることに注意してください。
調査の結果、2つの方法がわかりました。
- HTTPS を使用した基本的な実装 - このアプローチでは、渡されたユーザー ID とパスワードが中間者攻撃によって改ざんされないようにします。
- 認証トークン (JWT) の使用 - ユーザーは最初にユーザー ID とパスワードを渡し、サーバーは認証トークンを返します。ユーザーが認証トークンを取得したら、それを後続の要求に使用できます。
- OAuth 2.0 の使用 - このアプローチには非常に混乱しています。ドキュメントと仕様を読んだ後、私のアプリケーションはスタンドアロンであるため、認可サーバー、リソース サーバーなどを実装する必要があることがわかりました。
ここで OAuth を実装するように求められましたが、このシナリオで OAuth が必要であるとは確信していません。私はJWT(トークン)を実装するだけに傾倒しています
このシナリオで OAuth は本当に義務付けられていますか。OAuth について私が理解しているのは、Facebook/Google などのサービスが既にある場合に使用されるということです。
私の考えが正しいかどうか、この場合OAuth 2.0が必要かどうかを誰かが確認できますか?