Я хотел бы получить некоторые рекомендации относительно того, как обрабатывать проверку подлинности для моей службы покоя, чтобы иметь возможность поддерживать несколько различных сценариев, см. Включенное изображение?
Я думал об этой проблеме пару недель, не найдя решения для всех случаев, и даже если я сделаю компромисс, я столкнусь с проблемами
Если мы пропустим мобильное приложение и использование Curl, нет необходимости показывать сервис общедоступным, и можно будет использовать базовую аутентификацию для обмена данными между серверами. Но нам все же нужно будет возложить некоторую ответственность на «Веб-сайт только для ниндзя», чтобы передать (аутентифицированный пользователь openid) как часть для заголовка http?
В этом случае мы используем приложения Google для управления учетными данными наших коллег, и мне не нравится идея управлять другим именем пользователя / паролем в службе, если это возможно.
Есть ли какое-нибудь устойчивое решение для моей мечты, чтобы я мог создавать удивительные функции для клиента и реализовывать узкие API, которые управляют авторизацией для различных ресурсов для конкретного пользователя?
Другим возможным решением может быть интеграция сервиса с провайдером openid, но тогда у меня возникнут проблемы с переносом пользователя из «Веб-сайта только для ниндзя»