Saya merujuk pada artikel yang sangat bagus ini http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/ yang berbicara tentang amazon seperti keamanan untuk layanan web. Namun saya ditanya pertanyaan dalam tim mengapa kita membutuhkannya jika kita sudah menggunakan HTTPS. Saya tidak dapat menjawab karena sepertinya bagi saya mereka mungkin benar meskipun nyali mengatakan sebaliknya.
Juga ada tempat ketika menyediakan layanan REST di mana HTTPS mungkin tidak berfungsi? Suka situs web pihak ketiga?
Jika ada yang punya pengalaman dalam mengamankan Layanan Web melalui jalinan publik, silakan jelaskan pengalaman Anda.
Terima kasih sebelumnya.
EDIT: Untuk memperjelas saya tidak berbicara tentang otentikasi pengguna tetapi lebih pada otentikasi klien. Otentikasi pengguna dapat dianggap sebagai teks biasa melalui HTTPS + REST.
Kekhawatiran saya adalah ini masih memungkinkan siapa saja untuk menggunakan layanan web tanpa klien saya untuk mengaksesnya karena semuanya adalah teks biasa meskipun melalui HTTPS titik akhir klien masih dapat menggunakan layanan web saya tanpa aplikasi klien.