管理面板(在其自己的服务器上拥有自己的'用户'数据库)的标准身份验证方法/工作流程是什么被“视为”通过API对位于不同服务器/数据库的数据执行CRUD操作? (API对管理面板用户一无所知)。
服务器1:管理员面板
用户登录管理应用程序(OAuth2,grant_type =密码)。返回令牌。令牌存储在客户端的cookie中。使用令牌,用户可以与管理应用程序进行交互。
服务器2:数据API
用户登录后,Admin应用程序会对外部数据API进行身份验证,以检索用户可以管理的所有数据(OAuth2,grant_type = client_credentials)。返回一个令牌。
......那又怎样?
这两个令牌是否都存储在用户cookie中:
上述工作流程似乎很尴尬?两个令牌?
肯定必须有一个更简单的身份验证工作流程,以确定必须是常见的架构,即。客户端(管理员面板)与外部API进行交互,其中API仅了解客户端,而不是客户端的用户?