我在一个电子商务网站上工作,我们正在寻求通过一组API公开我们的许多核心功能。我们计划重新编写一些自己的面向公众的应用程序(例如,主要商店网站和我们的移动应用程序),以也调用这些新的API。我们还希望将其中一些API提供给想要与我们集成的第三方。
我的第一个问题是-这些API合适的身份验证方法是什么?我读到的所有内容都是关于OAuth的,但是我是说对的,在这种情况下不适合,因为我们不打算使用其他登录系统(例如Facebook,Google),而是限制对我们自己的API的访问(因此也许API密钥或JWT解决方案会更好?)
第二,我们当前的网站拥有自己的用户帐户系统。您如何在这样的API中提供/ user端点(例如GET user / 1235 / paymentmethods)?当然,实际用户(网站客户)需要以某种方式进行身份验证才能使给定的API使用者访问其数据。
我已经花了近两天的时间来阅读有关此内容的信息,但是我对如何执行此操作感到茫然!任何帮助表示赞赏。