У меня есть особый запрос от нашего клиента, который я опишу ниже, и я пытаюсь найти наиболее подходящий вариант для такой «странной» архитектуры.
Итак, речь идет о мобильном приложении (nativescript- angular) с использованием firebase для аутентификации своих пользователей. Аутентификация выполняется как через oauth2 (facebook, google, apple), так и через обычный логин (имя пользователя / пароль). Проблема здесь в том, что все остальные ресурсы приложения (список карт, создание карты, список провайдеров и т. Д. c.) Предоставляются набором конечных точек RESTfull (весенняя загрузка), и вопрос в том, что лучше подход для защиты запросов к этим службам REST.
Фактический поток описан ниже, но я не уверен, что это лучший безопасный вариант.
мобильный конечный пользователь аутентифицируется (например, facebook) с помощью firebase и получает обратно UID и адрес электронной почты конечного пользователя
с полезной нагрузкой с шага 1 (электронная почта, UID, имя , фамилия, et c.), при обратном вызове процесса аутентификации (шаг 1) выполняется вызов REST для сервера приложений поставщика RESTfull с весенней загрузкой, чтобы РЕГИСТРАЦИЯ этого нового клиента
После успешной регистрации нового клиента он получит обратно JWT, который будет сохранен в мобильной локальной базе данных или локальном хранилище.
С этого момента все Запросы REST будут авторизованы с использованием токена JWT и этого.
См. прикрепленное изображение, графически описывающее текущее предлагаемое решение 