Sto lavorando su una libreria client per interfacciarmi con l'API della mia azienda e generiamo un ticket utente quando l'utente accede utilizzando l'API.
Ovviamente non voglio inviare il ticket utente al client per la reinoltro delle richieste successive - è (relativamente) sicuro per me memorizzare questo valore in $_SESSION per le chiamate successive?
Non vedo perché non lo sarebbe. La più grande considerazione che riesco a vedere è che non vuoi che i tuoi dati vengano danneggiati dall'altro codice che sta utilizzando la sessione. La mia pratica comune in questo caso è creare una chiave di sessione di __{$company_name} e memorizzare tutti i miei bit lì. Ciò riduce drasticamente la possibilità che un altro codice possa applicare il nuke alle mie variabili di sessione.
Leggi altre domande sui tag api php authentication