Tôi đang xây dựng một ứng dụng/API cho phép người dùng đăng nhập bằng Facebook, Twitter hoặc Google. Tôi tự hỏi thực tiễn tốt nhất trong việc cho phép những người dùng đó sử dụng cùng một tài khoản để đăng nhập vào API là gì.Bảo mật API REST với Facebook OAuth
- Một vài ý tưởng mà tôi đã có là chuyển mã thông báo xác thực/cookie trong tiêu đề tới API cho mọi yêu cầu và sử dụng để xác thực trên chương trình phụ trợ.
- Chạy thiết lập OAuth của riêng tôi và làm cho người dùng xác thực một lần với mặt sau để lấy mã thông báo OAuth của tôi và sử dụng mã thông báo đó từ đó.
Bạn đề cập đến người dùng có tùy chọn đăng nhập bằng Facebook, Twitter và Google. Họ có buộc phải đăng nhập với một trong những nhà cung cấp OpenId đó không? –
Đây chính xác là vấn đề của tôi và giải pháp 1 có vẻ thực sự tốt nhưng tôi không hiểu cách API sử dụng mã thông báo xác thực để xác thực yêu cầu. Bạn có thể giải thích? – s0nica