Quindi ho creato un'API che voglio sfruttare per aggiungere alcune funzionalità a un'app Web esistente. Il mio sito web attuale autentica gli utenti che utilizzano SAML. Quello che sto cercando di fare è invece di spostare il codice nella base di codice esistente per trovare un modo per autenticarsi nel nuovo sito e sfruttare le API che sono già presenti.
Il mio primo pensiero è stato quello di creare un'autenticazione del token API per le nuove API e fare affidamento su questo per comunicare dal nostro client a questo nuovo back-end, ma non penso che questo sarà sufficiente. I dati sono sensibili e l'idea di avere chiavi API che possono essere facilmente prese dalla nostra app client non credo sia una buona idea per questo progetto.
Il mio secondo pensiero era sulla stessa falsariga dei token API, ma li ho creati solo quando l'utente si collega al sito esistente. Il sito esistente crea, memorizza e invia alcune informazioni identificative dopo l'autenticazione SAML che il nuovo back-end può utilizzare per identificare il client come legittimo quando invia questo con la richiesta. Questo assicura che l'utente debba prima accedere al nostro sito e non ci sono chiavi private / pubbliche qui da prendere ... Penso.
Terzo è semplicemente rispecchiare la nuova API nell'app esistente e semplicemente rendere le nuove API non raggiungibili dal Web, quindi solo chiamate proxy dalla nostra app esistente alla nuova app.
Qualsiasi idea e critica di queste idee è benvenuta o ciò che altre persone hanno fatto per risolvere questo tipo di problemi in cui hanno un'app Web in esecuzione con autenticazione e devono aggiungere nuovi servizi.