У меня есть приложение django (называемое клиентом), которое выполняет вызов API для другого приложения django api (Master), и я регистрирую пользователей, используя OpenID Connect (через django -keycloak). Мой вопрос заключается в том, как безопасно добавить маркер доступа пользователей в заголовок вызова ajax на сайте клиента на мастер-сайт.
Очевидное решение состоит в том, чтобы в моем шаблоне было что-то вроде: * * 1003. *
"beforeSend": function (xhr) {
xhr.setRequestHeader('Authorization',
"Bearer {{ user.token }}");
},
Но выставление токена кажется плохой идеей.
Я мог бы также создать API-интерфейс в клиентской системе, который вызывал бы API в основной системе, и добавить токен за кулисы, но это удваивает время на каждую поездку в оба конца, а также кажется плохой идеей.
Как лучше всего решить эту проблему?