У меня есть веб-сервер php с некоторыми учетными записями пользователей и программа java, запущенная на другом компьютере с rest-api, связанным с изображением. Веб-сервер и программа на самом деле не связаны друг с другом.
Теперь я хочу расширить API и добавить веб-страницу, которая дает зарегистрированным пользователям доступ к некоторым функциям нового API с отличием для каждого пользователя. Поэтому, когда сайт загружается php, он должен вставить в код JavaScript своего рода токен, который можно использовать с именем пользователя для какой-либо аутентификации этого указанного пользователя c.
Один из способов, о котором я подумал, - разделить достаточно длинный пароль между веб-сервером и программой и сгенерировать токены в php, например:
token = hash(password + username)
JavaScript будет отправляйте этот токен и имя пользователя при каждом запросе к rest-api. API может легко аутентифицировать пользователя, снова генерируя ha sh и сравнивая его с полученным. Но так как каждый пользователь может получить свой собственный токен или даже создать несколько учетных записей и получить их несколько, могу ли я предположить, что невозможно получить секретный пароль из токенов? У меня такое ощущение, что это недостаточно безопасно.
Есть ли лучшие способы сделать это? Или это невозможно без подключения веб-сервера и программы?