我正在尝试创建具有某些Spotify功能的React应用,但我不确定如何进行身份验证的最佳方法。
理想情况下,我希望使用“授权代码”流程,以便能够刷新令牌,因此我设置了Express后端来处理代码检索和令牌交换。
我遇到麻烦的部分是找出适当的方法来处理URL之间的所有信息交换。我认为最好的做法是将前端的所有外部交互都限制在后端,这样React应用程序永远不必直接与Spotify API进行通信。但是,身份验证代码流程需要打开一个外部窗口,用户可以在其中通过Spotify进行身份验证,而我对处理这些转换没有任何经验。
我当时想我应该在React应用中放置一个指向Express应用的链接,该链接会将客户端浏览器重定向到Spotify身份验证页面,然后将身份验证页面重定向到Express应用,运行另一个对Spotify的调用来处理代码到令牌的交换,这时我将使用令牌信息重定向回React应用。这是处理身份验证的适当方法吗?
这种认证形式似乎在大多数现代API中都非常普遍,所以我只想确保我能正确处理它。任何帮助/提示,不胜感激。
谢谢!