Дано три заявки:
- Сервер Backend API (например, на основе Java или Python)
- Мобильное приложение (Android / iOS)
- Веб-приложение (AngularJS, Vue и т. Д.)
Единственный способ для входа в приложение - через социальный вход (Facebook, Google и т. Д.)
Конечные пользователи используют только Web o Мобильное приложение; внутренний сервер используется для синхронизации и управления ресурсами.
Довольно легко реализовать социальную аутентификацию в мобильном или в Интернете, но как защитить серверный API? Предположим, что конечный пользователь для входа должен поделиться некоторой информацией, связанной с его учетной записью (например, календари или контакты). Когда пользователь поет, он / она получает access token и может делать запросы для получения подробной информации, связанной с его / ее учетной записью.
Тогда у меня есть два варианта:
- Сделайте запрос от устройства пользователя (например, в случае мобильного приложения), затем
отправьте их на сервер.
- Отправьте пользователя
acess token на сервер и сделайте запрос с сервера.
Каковы наилучшие методы защиты доступа к серверному API в обоих сценариях?
Если я правильно понимаю, что в случае второго сценария я могу использовать , этот метод ?