OAuth sürümleri arasında seçim yapıyorsanız, OAuth 2.0 ile gidin.
OAuth taşıyıcı jetonları yalnızca güvenli bir aktarımla kullanılmalıdır.
OAuth taşıyıcı jetonları yalnızca konuşmayı şifreleyen aktarım kadar güvenli veya güvensizdir. HTTPS, yeniden oynatma saldırılarına karşı koruma sağlar, bu nedenle hamiline ait jetonun yeniden oynatmaya karşı koruma sağlaması gerekmez.
Birisi taşıyıcı jetonunuzu ele geçirirse, API'yi çağırırken sizi taklit edebilir, ancak bu riski azaltmanın birçok yolu vardır. Jetonlarınıza uzun bir son kullanma süresi verirseniz ve müşterilerinizin jetonları yerel olarak depolamasını beklerseniz, jetonlarınızın kısa bir süre sona ermesine ve müşterilerin her oturum için yeni jetonlar edinmesini istemenize kıyasla jetonların ele geçirilmesi ve kötüye kullanılması riskiniz daha yüksektir. ve müşterilere jetonları saklamamalarını tavsiye edin.
Birden çok katılımcıdan geçen yüklerin güvenliğini sağlamanız gerekiyorsa, HTTPS / SSL grafiğin yalnızca bir bağlantısını şifrelediği için HTTPS / SSL'den daha fazlasına ihtiyacınız vardır. Bu bir OAuth hatası değildir.
Taşıyıcı belirteçleri, müşterilerin elde etmesi kolaydır, müşterilerin API çağrıları için kullanması kolaydır ve Google, Facebook ve diğer birçok hizmetten halka açık API'leri korumak için yaygın olarak kullanılır (HTTPS ile).