У меня есть веб-приложение без входа пользователя.Веб-приложение используется несколькими пользователями, и они используют веб-приложение для получения различного рода данных.Веб-приложение состоит из 5 кнопок в верхней части, и, нажимая на них, в WebApi делается запрос ajax, который собирает данные из базы данных и возвращает их.
Я теперь внедрил аутентификацию токена (client_credentail grant)на данный момент) в webapi, и теперь я задаюсь вопросом, как должна работать аутентификация для моего веб-приложения.
На данный момент каждое приложение, которое должно использовать API, должно предоставить идентификатор клиента либо для получения access_token.Если client_id верен, acess_token предоставляется, а refresh_token создается и сохраняется в базе данных.
Моя проблема:
Если человек A просматривает веб-приложение, запрос кwebapi сделан с client_id.Access_token и refresh_token возвращаются обратно, и теперь пользователь может начать использовать веб-приложение и собирать данные, как раньше.Но если человек B посещает веб-приложение, в течение времени, когда человек A работает над веб-приложением, новый токен не может быть получен, поскольку приложение уже аутентифицировано с помощью access_token, и либо для получения нового, вы должныиспользуйте refresh_token, чтобы получить новый.Это сделано для того, чтобы пользователь не мог несколько раз получить новый токен для приложения.
Как я могу решить эту проблему стандартным способом?Я хочу, чтобы приложение было аутентифицировано с помощью acess_token и использовалось несколькими пользователями.
Я сделал грязное решение, в котором я создал долгоживущий access_token и жестко закодировал его в каждом запросе, но я точно знаю, чтоэто не правильный способ сделать это.