Мне нужно некоторое понимание токена доступа в определенном контексте.
У меня есть приложение, в котором есть пользователи.Пользователь использует учетные данные (электронная почта, пароль) для подключения через пользовательский интерфейс и API-интерфейс аутентификации.Это приложение использует различные пользовательские API конечных точек, такие как API для выставления счетов.
До этого пользовательский интерфейс отправлял учетные данные пользователя в API-интерфейс auth и получал токен доступа (с подписанным файлом cookie).
Теперь мне нужно расширить сферу применения этого приложения на сторонние клиенты.Клиенты должны иметь возможность создавать и подключать только своих пользователей.Так что это не тот случай, как в Instagram с использованием авторизации в Facebook для подключения пользователей с идентификатором Facebook.Мне не нужны разрешения пользователей или коды авторизации.
Клиенты также могут получить доступ к определенным конечным точкам приложения (с и без аутентифицированного пользователя)
Должен ли я реализовать OAuth (1.0 или 2.0) дляклиенты;проверить наличие токена на предъявителя / доступа в заголовке авторизации, чтобы подтвердить идентификацию клиента, и проверить наличие маркера доступа в файлах cookie, чтобы проверить, подключен ли пользователь?
Возможно ли иметь 2 разныхтокен доступа (1 для клиента и 1 для пользователя) в одном запросе http?Кажется ли это нормальным?
Какое решение вы бы применили?
С уважением