Я использую веб-сервис, который использует следующий процесс аутентификации для вызовов API.
POST для fqdn / login_users с базовой аутентификацией "имя пользователя, пароль" (https конечно) возвращает (довольно длинный) токен.
POST для fqdn / users / login с заголовком Авторизационный токен токен = возвращает другое имя пользователя, (короткий) сеансовый токен с кучей другихинформационные материалы, такие как время последнего входа в систему, срок действия и т. д.
вызовы API с использованием возвращенного имени пользователя и токена сеанса в заголовке Basic Auth.
Я пытаюсь понять обоснование этого подхода.
Прежде всего, это общий шаблон, используемый в аутентификации API?
Вместодвухэтапный процесс, почему бы не вернуть маркер сеанса в качестве ответа для первого API "login_users"?
Вместо использования исходного идентификатора пользователя, зачем возвращать другой идентификатор пользователя на 2-м шагеи использовать йв последующих вызовах API?