针对Web应用和移动应用的REST API身份验证

我在决定如何为RESTful API实现身份验证时遇到一些麻烦,这些API对于Web应用程序和移动应用程序都是安全的.

首先,我考虑通过HTTPS调查HTTP基本身份验证作为选项.它适用于移动应用程序,其中用户名和密码可以安全地存储在操作系统密钥链中,并且由于请求将通过HTTPS而无法在传输过程中被截获.API也很优雅,因为它完全是无状态的.这个问题是针对Web应用程序的.将无法访问用于存储用户名和密码的密钥链,因此我需要使用cookie或localStorage,但随后我将用户的私人详细信息存储在易于访问的位置.

经过更多的研究,我发现了很多关于HMAC认证的讨论.我用这种方法看到的问题是需要一个只有客户端和服务器知道的共享秘密.如何在Web应用程序中为特定用户获取每个用户的秘密,除非我有一个api/login端点,它接受用户名/密码并将秘密返回存储在cookie中？在将来的请求中使用.然而,这是向API引入状态.

为了让另一个扳手投入工作,我希望能够将API限制为某些应用程序(或者,能够阻止某些应用程序使用API​​).我无法看到这个网络应用完全公开的可行性.

我真的不想实现OAuth.这可能对我的需求有些过分.

我觉得好像我可能没有完全理解HMAC,所以我欢迎一个解释,以及如何通过网络应用程序和移动应用程序安全地实现它.

更新

我最终使用HTTP Basic Auth,但是不是每次请求都提供实际的用户名和密码,而是实现端点以交换访问密钥的用户名和密码,然后为每个经过身份验证的请求提供访问密钥.消除了在浏览器中存储用户名和密码的问题,但当然如果您有权访问该计算机并使用它,您仍然可以删除令牌.事后看来,我可能会进一步研究OAuth,但对初学者来说这很复杂.