我需要帮助选择身份验证模型。
我有一个资源,让我们说“/ items”有一些属性,如:
[{
“id”:”1234”,
“secretInfo1”:”value1”,
“secretInfo2”:”value2”
“price”:”1000"
}]
案例1 Api用户是匿名用户。 如果他知道属性:id,secretInfo1,secretInfo2,则Api用户可以对此资源执行某些操作。
案例2 Api用户拥有帐户,登录名和密码。 如果Api用户经过身份验证并有权访问此资源,则可以对此资源执行某些操作。
由于特定要求,我无法在每个请求中发送登录名/密码或秘密属性。 目前,我只看到基于会话的身份验证模型,但它不是无状态的,不推荐用于REST API Oauth1 / 2看起来有点矫枉过正。
请你推荐我认证模式。