使用令牌和会话令牌的API身份验证过程

时间:2018-11-20 21:04:40

标签: api authentication jwt basic-authentication

我正在使用Web服务,该服务使用以下身份验证过程进行API调用。

  1. 使用基本身份验证“用户名,密码”(当然是https)发布到fqdn / login_users 返回一个(相当长的)令牌。

  2. 使用标头Authorization Token token = POST到fqdn / users / login 返回不同的用户名,(短)会话令牌以及其他信息,例如上次登录时间,有效期等。

  3. 使用基本身份验证标头中返回的用户名和会话令牌进行API调用。

我试图了解这种方法的原理。

  1. 首先,这是API身份验证中使用的常见模式吗?

  2. 为什么不通过两步过程就不返回会话令牌作为对第一个“ login_users” API的响应?

  3. 为什么不使用原始用户ID,而是在第二步中返回一个不同的用户ID,并在随后的API调用中使用该用户ID?

0 个答案:

没有答案