我正在构建一个带有node.js的Web Api和一个使用Ember.js来使用该服务的客户端。该客户被视为“官方”,因为该服务也将由第三方(如twitter,facebook,g +,也可以)消费。
我关心的是API的安全性。
我想要实现的方法是使用oauth2orize模块实现oauth 2.0,以访问用户授权的每个注册客户端。这个问题是用户也必须授权官方客户端,就像它是第三方客户端一样。我希望授权对登录官方客户端的用户透明。
有没有办法避免授权或自动将其提供给每个注册用户的官方客户?
这是最好的方法吗?我的另一个想法是对官方客户使用基本(用户:密码:cookie)认证,并仅为第三方留下授权部分。在这种情况下,我如何知道请求是来自第三方还是官方客户端才能使用正确的授权方案?
提前感谢。