我使用Pylons框架在Python中构建了一个RESTful API,为Apache2和mod_wsgi提供服务,并且希望将它连接到iPhone应用程序。我对HTTPS,SSL和证书颁发机构的经验很少,我想知道如何去保护我的API。将iPhone应用连接到安全的RESTful API?
如何确保通过HTTPS提供API?像在this示例中那样,是否有必要设置SSL证书?如果我通过未被iOS认可的权限(例如CACert.org,主要是因为它是免费的)签署SSL证书,是否会影响我的应用与我的服务器通信的能力?其他人如何解决保护基于Web的RESTful API和iPhone应用程序之间通信的问题?
此外,OAuth如何适应这一切?
要使OAuth工作,您根本不需要SSL? – john
不,您本身不需要SSL。这确实取决于保护你的API的意思。正如我所提到的,OAuth可以帮助防止未经授权的客户访问您的API。但是,如果没有SSL,客户端和服务器之间的通信仍然是未加密的。也许您正在寻找的是OAuth/SSL组合? – stephenmuss