Ho sviluppato un'API REST / JSON. L'API espone molte funzionalità. L'API verrà utilizzata dalle applicazioni che progettiamo internamente (app mobili e app Web), dalle applicazioni progettate dai nostri rivenditori e dalle applicazioni progettate dalle aziende. Sto cercando di proteggere l'applicazione implementando l'autenticazione e l'autorizzazione. Ho "cercato su Google" molto ma la mia ricerca mi ha lasciato più domande che risposte.
-
La nostra applicazione interna verrà utilizzata dagli utenti finali registrati nell'applicazione. In sostanza, la nostra applicazione è solo un client che richiede l'utente finale, portandolo all'API REST e recuperando i dati per l'utente finale. La nostra applicazione interna dovrebbe essere in grado di eseguire tutte le operazioni esposte dall'API REST. Qual è il modo migliore per gestire l'accesso utente nella nostra applicazione interna? HTTP Basic su SSL o OAuth?
-
Le nostre applicazioni per rivenditori possono creare utenti come se fossero proprietari degli utenti, ma alla fine i dettagli dell'utente vengono memorizzati nel nostro database. L'applicazione per rivenditori agirà semplicemente come un client che richiede l'utente e recupera i dati dell'utente. Le nostre applicazioni per rivenditori dovrebbero essere limitate solo ad alcune operazioni dell'API REST. Quale meccanismo di sicurezza utilizzerò per implementare questo tipo di autorizzazione e accesso utente?
Spero che la mia domanda sia chiara. Grazie per l'aiuto.