【发布时间】:2016-02-18 23:32:58
【问题描述】:
我正在为社交网络网站开发 API。这个 API 基本上会获取用户的所有请求(获取好友列表、发布状态更新等)并在必要时回复。
我们将实施 OAuth 2.0 协议进行身份验证。 Consumer(我们的 php 项目)有 API id 和 secret。
基本场景:
- 客户想要登录
- API Consumer(php web 项目)接受这个请求,将用户引导到 API
- 用户将他/她的用户凭据发送到 api,获取令牌。
- 用户回到我们的网站,将令牌传递给消费者。
- 消费者前往api服务器,获取访问令牌。
- 现在消费者(php 项目)可以访问用户的私人信息。
由于这是一个社交网络网站,我们希望应用开发者将来能够使用我们的 API。
我在 API 设计方面没有经验。这种流量有意义吗?我想最简单的身份验证是通过 php 项目访问用户信息。但是我们不想在 php 代码中访问数据库。我们将在客户端使用 ajax 并向 API 发送请求。而且我认为应该有更好的解决方案,您有什么建议?
【问题讨论】:
标签: restful-authentication restful-architecture