我想为API创建一个登录系统,以识别发出请求的用户及其在应用程序中的角色。 问题是我的API将被网络和移动应用程序使用。
我想实现像Oauth2这样的东西,其中使用我的API的应用程序向我发送用户凭据,并且我返回一个令牌,该令牌将用于识别该用户的每个请求。 但我的问题是如何确保请求令牌的同一用户的请求?因为任何成功将该应用程序所请求的令牌提取到我的API的人都可以使用该令牌并模拟用户直到令牌过期。
例如,您有一个符合我的API的移动应用程序,并通过api.com/token发送使用移动应用程序的人的用户名和密码,让我们称之为User1并接收'TestToken',然后他提出通过在标题中发送令牌来进行各种请求。但是如果其他人让我说User2获得令牌,他可以通过sendind令牌发出请求,我认为是User1。 那么有没有任何安全的方法可以确保User1而不是User2发出请求,可以在没有会话的Web和移动应用程序中使用。