Я працюю над API для свого веб-додатку, який може надавати необроблені дані JSON, щоб мої користувачі могли використовувати їх за своїм бажанням. Я використовую Apigility, який поставляється з реалізацією OAuth2.
Я хотів би, щоб мої користувачі відвідували екран у своєму додаткуотримати їм призначені облікові дані, а потім використовувати їх для споживання API. Чи потрібно створити client_id для кожного користувача чи всі вони можуть використовувати спільного клієнта та використовувати різні імена користувача / паролі?
Я також не впевнений, який тип гранту буде oauthнайбільш застосовні. Оскільки жодна сторона не бере участі, здається, що тип надання грантів "пароль" може бути достатнім; але мені все ж потрібно вказати "client_id" та "client_secret" у заголовках запиту?
Який найкращий спосіб надати облікові дані та автентифікувати користувачів на API RESTful, коли вони лише споживають його самі?
Спасибі заздалегідь.
Відповіді:
1 для відповіді № 1Ви можете скористатися дозволом власників ресурсів пароля з вказаних вами причин. Вашому додатку знадобиться лише один client_id
і client_secret
для обробки різних користувачів / паролів.
Ви б вказали ці значення (client_id
, client_secret
, username
, password
) як частина параметрів HTTP POST запиту до кінцевої точки лексеми та повернути маркер доступу, який ви використовували б у заголовках проти API.