Bir API bir istemcinin kimlik doğrulaması gerektirdiğinde, kullanılan iki farklı senaryo gördüm ve durumum için hangi durumda kullanmam gerektiğini merak ediyorum.
Örnek 1. Üçüncü tarafların HTTP Basic kullanarak bir belirteç ve sır ile kimlik doğrulaması yapmasına izin vermek için şirket tarafından bir API sunulmaktadır.
Örnek 2. API, son kullanıcının kimliğini doğrulamak için HTTP Basic üzerinden bir kullanıcı adı ve parola kabul eder. Genellikle gelecekteki talepler için bir token geri alırlar.
Kurulumum: Bir mobil ve web uygulaması için arka uç olarak kullandığım bir JSON API'm olacak. Hem mobil hem de web uygulamasının bir jeton ve sırrı göndermesi iyi bir uygulama gibi görünüyor, böylece yalnızca bu iki uygulama herhangi bir üçüncü tarafı engelleyen API'ya erişebilir.
Ancak mobil ve web uygulaması kullanıcıların giriş yapmasına ve yayın göndermesine, verilerini görüntülemesine vb. İzin verir. Bu yüzden her istekte HTTP Temel yoluyla giriş yapmalarını isterdim.
Bir şekilde bu yöntemlerin bir kombinasyonunu mu kullanıyorum yoksa her istekte yalnızca son kullanıcı kimlik bilgilerini (kullanıcı adı ve jeton) gönderiyor muyum? Yalnızca son kullanıcı kimlik bilgilerini gönderirsem, istemcideki bir çerezde saklayabilir miyim?