Sto sviluppando un'applicazione REST e consento ai miei clienti di autenticarsi in diversi modi (in genere utilizzando Authorization: Token ...
come in OAuth 2.0, ma esiste anche l'opzione di autenticazione basata sulla sessione per l'API navigabile sul Web). L'applicazione consente al client di fornire il proprio endpoint a cui la mia applicazione eseguirà successivamente POST con alcuni dati ogni volta che si verifica un evento particolare.
Ora mi chiedo: qual è il modo migliore per l'applicazione client di autorizzare che si chiami la mia applicazione?
Devo eseguire personalmente il rollup di qualcosa (ad esempio includere un token derivato dal segreto dell'applicazione client, che l'app client dovrebbe verificare) oppure esiste un approccio più convenzionale che posso seguire?