Я столкнулся с проблемой, пытаясь создать инфраструктуру для разделения аутентификации между APP и пользователем и API REST в .net.
До сих пор я придумал такую структуру:
Приложение будет зарегистрировано в APP API Service , которая будет вести журнал всех приложений, использующих различные внутренние API.
Журнал будет храниться в таблице с AppId , App Secret и Доступными API .
Каждый раз, когда приложение загружается на мобильный телефон или в Интернет, оно вызывает этот API для запроса токена приложения , передавая AppId и Secret в заголовки.
После получения App Token будет сделан отдельный вызов другому API для запроса авторизации путем передачи имени пользователя и пароля пользователя вместе с App Token .
В свою очередь, это вернет токен пользователя .
Как только приложение получит токен приложения и токен пользователя , оно сможет запрашивать разрешенные API, передавая как токены, так и запрашивая данные.
Диаграмму можно увидеть ниже:
У меня возникла проблема с пониманием последней части о том, как передать оба токена в API.
Может ли кто-нибудь предоставить какие-либо учебные пособия или руководства относительно того, где осуществляется аналогичная реализация?
Было бы очень признательно.
Спасибо:)