Actualmente estoy trabajando en un servicio que ofrece una API HTTP para clientes móviles.
Quiero que los clientes se autentiquen para poder acceder a mi API. El servidor en sí está haciendo la autenticación, no habrá proveedores externos. La conexión en sí misma está cifrada a través de SSL / TLS.
Mi pregunta ahora es qué mecanismo utilizo después de las credenciales de usuario cuando se verificó. Por lo que sé, los más comunes son:
- autenticación básica HTTP
- autenticación de acceso de resumen HTTP
- autenticación basada en sesión
- OAuth
- OAuth2
Personalmente tiendo a seguir con la autenticación basada en sesión, ya que es ampliamente compatible y fácil de usar. También me parece bastante seguro (bueno, hay secuestro de sesión pero no tienes que reenviar tus credenciales cada vez)
Sin embargo, ¿sería una mejora cambiar a la autenticación de acceso de resumen HTTP o incluso a OAuth?
Mejor, Bodo