我一直在添加身份验证,因此可以保护我的API。目前,开发人员可以通过发送其密钥和机密来从服务器请求令牌。一切正常,服务器将令牌发回给开发人员,以供其他请求使用。
我的问题出在我还需要验证用户身份的地方。我们正在开发一个Web应用程序以使用API,并且用户必须登录才能查看页面。
为了使用户能够查看页面,他们需要通过发送用户名和密码来向服务器进行身份验证。 同时,开发人员还必须通过其令牌发送,以便服务器可以验证开发人员是否可以访问API。 当前,它发送身份验证标头,并编码如下:
令牌:用户:密码
如何做到这一点,因此我只需要在一个请求上发送用户名和密码?因为在当前系统中,用户名和密码必须在每个请求中与开发令牌一起发送。我正在使用基本身份验证,所以也许我正在寻找OAuth。该api是无状态的,因此我宁愿不将登录用户存储在API服务器上。
谢谢