Diciamo che il mio Rest api
è protetto usando OAuth 2
. Supponiamo che il mio cliente sia un mobile App
. Diciamo che ho una chiamata Api
:
@Post /increasePoints host:https://www.example.com/increasePoints amout=10
Ora, usando questa chiamata API, si dovrebbe avere un Access Token
valido. dalla mia app ho il controllo su quando chiamare questa funzione quindi non ci sono problemi. ma supponiamo che l'utente autenticato ottenga una sospensione di access token
. come posso impedirgli di postare su questa API usando il suo access token
?
Poche opzioni a cui ho pensato:
- firma ogni chiamata con un'intestazione speciale.
-
usa client_authentication con scope point - ho appena letto su questo tipo di autenticazione ma l'utente può ottenere
access token
con la stessa facilità per ciò che ho capito.