Аутентификация REST API без сохранения состояния

Question

Может кто-нибудь сказать мне, какая из этих архитектур является с состоянием / без состояния?

1. REST API с аутентификацией пользователя сеанса, хранящейся в redis.
2. REST API с аутентификацией пользователя JWT, сохраненной с список отзыва на redis.
3. REST API с аутентификацией пользователя oauth2.

Я также хотел бы знать, могу ли я использовать сервер ресурсов и авторизации в качестве одного и того же API с точки зрения oauth2. Стоит ли иметь собственный сервер авторизации?

Какой тип аутентификации пользователя и аутентификации приложения будет легко и безопасно использовать при запуске для REST API, который будет использоваться веб-сайтом и мобильным приложением? Я понимаю, что это будет 2 аутентификации для пользователя и для приложения.

Пожалуйста, это для меня больше похоже на завершение всего, что я прочитал, поэтому мне просто нужны короткие ответы - я уже много читал.

Answer 1

Основная цель состоит в том, чтобы вывести его из внешнего вида - тогда ваш пользовательский интерфейс и код API просты и не сохраняют состояния. Это то, что разрешает Сервер авторизации.

AS - это то, с чем вы взаимодействуете и конфигурируете, но вы не кодируете его самостоятельно.

Используйте бесплатный / дешевый Сервер авторизации от облачного провайдера например, Google или AWS

Следование стандартам OAuth 2.0 и Open Id Connect является самым дешевым вариантом, если вы сделаете правильный выбор - хотя кривая обучения есть.

В качестве примера мой Образцы облаков для меня в значительной степени нулевые затраты - и мой код прост - даже если кто-то из inte rnet может их запустить.

С точки зрения подключения, возможно, есть просмотр моего первого урока , который, я надеюсь, нагляден и на него легко смотреть.