Je suis nouveau à ce sujet mais je ferai de mon mieux pour expliquer ce que j'essaie de faire.Comment dois-je gérer l'authentification dans mon API REST?
J'ai un catalogue de produits et diverses informations privées que mes utilisateurs veulent pouvoir accéder via leur site web.
Par exemple:
utilisateur-a a un site e-commerce et ils veulent vendre ma marchandise. Ils pourront accéder à certains détails des produits via un service web. Ils seront également en mesure de voir le taux négocié que je leur ai donné avec d'autres détails privés.
Comment l'API doit-elle gérer l'authentification de la requête provenant du site Web de l'utilisateur?
J'ai lu toute la journée sur les différentes méthodes d'authentification, mais elles semblent toutes tourner autour de l'idée d'un tiers accédant à des informations utilisateur spécifiques. Un exemple est si vous laissez http://randomtwitterapp.com accéder à votre profil twitter. Dans ce cas, le site tiers doit gérer plusieurs utilisateurs et jetons d'authentification différents. Dans notre cas, mon site Web d'utilisateurs interagit au nom de l'utilisateur. J'espère que cela a du sens.
Tout dépend de la façon dont vous faites confiance * Site Web de l'utilisateur *, ce qui n'est pas clair d'après la question. "interagir au nom de l'utilisateur" est en fait ce que fait OAuth: il permet à vos utilisateurs d'accorder à des tiers des applications Web (même leurs propres sites) l'accès en leur nom sans révéler leurs informations d'identification. – mogsie