我有一个包含公共API的网站:
mysite.com api.mysite.com (protected with OAuth2.0)
我的网站将允许其他网站所有者在其网页上放置iframe小部件,类似于Facebook好友小工具。当消费者登录到窗口小部件时,我需要它与我的公共API进行通信。我目前有一个3脚的身份验证设置:
https://api.mysite.com/me?access_token=12345
我的API是无状态的(没有会话),并依赖访问令牌来验证每个请求。如何设置我的javascript小部件以与我的OAuth2 API进行通信?我的第一个想法是将访问令牌存储在cookie中,但我知道这不安全。