我们正在创建用于访问数据存储的REST API。此API将由各种第三方移动应用使用,其使用我们需要控制的API的权限。此外,我们需要控制每个应用程序的**用户**(用户可以使用多个应用程序)。
因此,对于我们对API的每次调用,我们都需要验证应用程序的凭据是否有效以及用户'也是如此。
我可以想到一些这样做的方法(例如两个自定义HTTP标头),但我想问一下是否存在标准或通用约定,因为在我看来这是一个相当常见的问题
答案 0 :(得分:1)
实施此类身份验证和授权的最佳方法是使用OAuth 2.0协议。您的应用程序需要是OAuth 2.0服务器。以下链接介绍了Google如何使用OAuth 2.0保护API以及如何使用这些API。