我只是继承了API的所有权(用Python / Flask编写并在AWS上运行,带有MongoDB后端),其中唯一的身份验证是手动电子邮件/密码登录。
当前过程是:
此API用作多个Android应用程序的后端。 现在,我想添加OAuth,以允许用户使用Google Auth进行登录/注册,但是在实现此功能时遇到了绊脚石:
我无法使用任何其他身份验证,例如Firebase Auth,因为即使在应用程序(电子邮件/密码或Google)上完成身份验证后,如果没有手动密码,我也无法获得API密钥(由于其实施方式)。
我已经遍历以下主题here on SO和OAUth website,但是如何解决这个问题却一无所知。
我该如何处理?我必须重写API吗?我之所以这样问是因为,如果我“信任” OAuth模块,则必须向其公开一个端点和敏感数据(不使用API进行身份验证),这是一个糟糕的主意。