Аутентификация Web + Mobile — лучшие практики?

Question

[Артём Иннокентьев]

Проект основан на django-rest-framework. В топиках DRF советуют использовать SessionAuthentication для клиентов с того же самого сайта, если же есть взаимодействие с другими сайтами - TokenAuthentication.

На стеке по разному, кто-то советует OAuth 2.0, другие - велосипеды:

1. линк1
   
2. линк2
   
3. линк3
   

Как лучше всего делать аутентификацию для Web и Mobile?
Какие плюсы/минусы подходов?

Очень хочется услышать мнение опытных людей, которые имели опыт создания RESTful сервисов.

Answer 1

[Andrey K]

OAuth 2. Много где используется и большинство разработчиков с ним наверняка уже работали.

Comments

[Roman K]

Токены и сессии используются тоже повсеместно.

[Andrey K]

Это да, но там нет стандарта, банально название куки с сессией везде разное.

[Alexander D.]

REST и сессии несовместимы - сессии предполагают состояния, а REST не использует их. OAuth 2 - это токены, только стандартизированные. Я советую OAuth2.

Answer 2

[Иван Воробей]

Oauth 2.0, как по мне, избыточен.
Использую токены, JWT

Comments

[Razaz]

Вы еще свою модель угроз небось написали?

Answer 3

[xmoonlight]

Берём и читаем MD5-CRAM, заменяем MD5 на любую хэш функцию и получаем искомое.

Answer 4

[Владимир Грабко]

Oauth 2.0 + jwt )))

Answer 5

[TimeCoder]

Можно использовать одновременно CookiesBased аутентификацию для пользователя (в смысле браузера), и TokensBased для REST API (с mobile или desktop клиента). Как-то делал пример на эту тему, но для ASP.net MVC