有三种应用程序:
唯一可能的登录应用程序的方法是通过社交登录(Facebook,Google等)
最终用户仅使用Web o移动应用程序;后端服务器用于同步和管理资源。
在移动设备或Web上实现社交身份验证非常容易,但是如何保护服务器API?假设最终用户登录必须共享一些与其帐户有关的信息(例如,日历或联系人)。用户唱歌时,他/她得到access token并可以请求获取与他/她的帐户有关的详细信息。
然后我有两个选择:
acess token发送到服务器并从服务器发出请求。在两种情况下保护访问服务器API的最佳实践是什么?
如果我正确理解在第二种情况下可以使用this method?