Я создаю API для своего сайта и столкнулся с проблемой.Я хочу, чтобы мои пользователи могли "войти" в свою учетную запись с помощью API, но мой сайт не использует систему имени пользователя / пароля, он использует API Twitter и cookie / сеанс для аутентификации.Я пытаюсь придумать лучший способ разрешить пользователям публиковать данные с использованием API без ущерба для безопасности.По сути, мне нужен способ убедиться, что пользователь является тем, кем, по его словам, он является из приложения.
Одна идея, о которой я подумал, состояла в том, чтобы пользователь создал пароль, который он использовал бы для «входа в систему»."через метод в API.Отправка правильных учетных данных (имя пользователя Twitter и их выбранный пароль) этому методу вернет токен, который будет связан с их учетной записью.Чтобы пойти еще дальше, я мог бы изначально установить токен (по сути, ключ API) как неактивный, и чтобы API также возвращал секретный код, который также будет связан с учетной записью пользователя.Затем пользователь должен будет войти в свой профиль на сайте и ввести секретный код, который активирует его токен и позволит ему публиковать сообщения с помощью API.
Я хочу сделать его простым для пользователя, ноЯ не хочу ставить под угрозу безопасность других пользователей.Кто-нибудь может предложить лучший способ сделать что-то подобное или сообщить мне, если предложенный мной способ будет хорошим способом сделать это?