我正在使用Web服务,该服务使用以下身份验证过程进行API调用。
使用基本身份验证“用户名,密码”(当然是https)发布到fqdn / login_users 返回一个(相当长的)令牌。
使用标头Authorization Token token = POST到fqdn / users / login 返回不同的用户名,(短)会话令牌以及其他信息,例如上次登录时间,有效期等。
使用基本身份验证标头中返回的用户名和会话令牌进行API调用。
我试图了解这种方法的原理。
首先,这是API身份验证中使用的常见模式吗?
为什么不通过两步过程就不返回会话令牌作为对第一个“ login_users” API的响应?
为什么不使用原始用户ID,而是在第二步中返回一个不同的用户ID,并在随后的API调用中使用该用户ID?