我们正在Azure上开发一个移动应用程序,其中身份验证基于电话号码,以下是身份验证流程
一旦身份验证成功,我们将对如何实施APIS的授权有些困惑。我想到了2种策略
1)创建一个具有预定义到期时间的签名JWT令牌,作为登录api响应的一部分。该令牌将需要作为承载令牌发送以授权APIS。为客户端应用程序实现自定义API以更新令牌(通过传递旧令牌)
2)为每个移动设备创建一个随机密码,使用Azure AD并利用资源所有者密码凭据和可选的刷新令牌
需要一些有关上述方法正确性的建议。也欢迎任何其他替代方法的建议