所以,我在过去几天里已经阅读了很多关于不同REST API授权和身份验证工作流程的内容,并认为我会联系看看人们的想法。这是我的情况:
移动应用: 该应用程序不需要用户登录,但确实使用REST API提供的数据。
单页应用: 用户登录SPA并可以查看/更改使用对REST API的AJAX调用提供的数据。登录主要限制访问Web应用程序而不是REST API。
邮递员的API测试: 我使用Postman测试和调试API路由/响应
有关确保只有授权客户/应用程序才能访问REST API的有效方案的任何想法?
提前致谢!