Ich arbeite an einer API für meine Webanwendung, die unbeschränkte JSON-Daten für meine Benutzer bereitstellen kann, die sie nach Belieben verwenden können. Ich verwende Apigility, das mit einer OAuth2-Implementierung geliefert wird.
Ich möchte, dass meine Benutzer einen Bildschirm in meiner App besuchenHolen Sie sich ihre zugewiesenen Anmeldeinformationen und verwenden Sie sie, um die API zu verwenden. Muss ich für jeden Benutzer eine client_id erstellen, oder können alle denselben Client verwenden und unterschiedliche Benutzernamen / Kennwörter verwenden?
Ich bin mir auch nicht sicher, welcher oauth Grant-Typ sein würdeam zutreffendsten. Da es sich nicht um einen Drittanbieter handelt, scheint der Erlaubnistyp "Kennwort" ausreichend zu sein. aber ich muss immer noch "client_id" und "client_secret" in den Kopfzeilen der Anfrage angeben?
Was ist der beste Weg, Anmeldeinformationen bereitzustellen und Benutzer auf einer RESTful-API zu authentifizieren, wenn sie diese nur selbst verwenden?
Vielen Dank im Voraus.
Antworten:
1 für die Antwort № 1Sie können die Berechtigungsnachweise für Ressourceninhaberkennzeichen für die von Ihnen genannten Gründe verwenden. Ihre App würde nur eine einzige benötigen client_id und client_secret um verschiedene Benutzer / Passwörter zu behandeln.
Sie würden diese Werte angeben (client_id, client_secret, username, password) als Teil der HTTP-POST-Parameter der Anforderung an den Token-Endpunkt und erhalten Sie ein Zugriffstoken zurück, das Sie in den Headern für die API verwenden würden.