Sitede oturum açmanın ve kimliğinizi doğrulamanın tek yolunun Facebook olduğu bir web sitemiz var (bu benim seçimim değildi). Facebook ile ilk kez oturum açtığınızda, sizin için otomatik olarak bir hesap oluşturulur.
Şimdi sitemiz için bir iPhone uygulaması ve ayrıca başkalarının hizmetimizi kullanması için genel bir API oluşturmak istiyoruz.
Bu soru, web sitemizle uygulamadan / API'den nasıl kimlik doğrulaması yapılacağıyla ilgilidir ve 2 bölüme ayrılmıştır:
- Bir API'den kimlik doğrulama yöntemi olarak yalnızca Facebook OAuth kullanan bir web sitesine REST kimlik doğrulamasını işlemenin doğru yolu nedir?
REST API için standart kimlik doğrulama yöntemleri hakkında çok şey okudum ve araştırdım. Bu tür bir kullanıcı için kimlik bilgileri olmadığından HTTPS üzerinden Temel Kimlik Doğrulama gibi yöntemleri kullanamayız . Böyle bir şey bu sadece API kullanarak uygulamaları doğrulamak için gibi görünüyor.
Şu anda, düşünebileceğim en iyi yol, API'mizde bir uç noktaya ulaşmanız / yetkilendirmeniz, Facebook OAuth'a yönlendirmeniz, ardından siteye geri dönmeniz ve API kullanıcısının daha sonra kimlik doğrulaması için kullanabileceği bir 'belirteç' sağlamasıdır. istekleri.
- Oluşturduğumuz resmi bir uygulama için, genel API'yi aynı şekilde kullanmamız gerekmez. O halde web sitemizle konuşmanın ve kullanıcıların kimliğini doğrulamanın en iyi yolu nedir?
API (genel) anahtarları ve gizli (özel) anahtarları kullanarak API'mizi kullanan 3. taraf uygulamaların kimliğini nasıl doğrulayacağımı anlıyorum (düşünüyorum). Bununla birlikte, uygulamayı kullanan kullanıcının kimliğini doğrulamaya gelince, bir kullanıcının kimliğini doğrulamak için tek yolumuz Facebook iken, bunun nasıl yapılacağı konusunda kafam biraz karışıyor.
Çok bariz bir şeyi kaçırdığımı veya genel REST API'lerinin nasıl çalışması gerektiğini tam olarak anlamadığımı hissediyorum, bu nedenle herhangi bir tavsiye ve yardım çok takdir edilecektir.