Lavorando su un side-project scrivendo un'API e quando si tratta di autenticazione sono un po 'bloccato. Sto cercando di decidere quali sono le differenze tra l'utilizzo di Basic Auth e $ _POST per il login effettivo.
Una volta che il login viene pubblicato, restituirò un token al client che verrà poi utilizzato nelle successive chiamate API.
Il mio piano ha questo aspetto:
- L'utente immette nome utente, password nel modulo di accesso client
- Il client cancellerà la password
-
Il client invierà nome utente e password hash a API TokenController su SSL
-
TokenController cancellerà nuovamente la password e verificherà le credenziali sul database
- Se valido, restituisce un JWT e una risposta valida al client
-
Se non valido, restituisce una risposta non valida al client.
-
Il client utilizza il token restituito per effettuare altre chiamate API come gli utenti / {id}
Solo nel login iniziale le credenziali verranno inviate in un testo in chiaro (saranno sottoposte a hash). Penso che potrei andare con Basic Auth o inviare come un POST normale e funzionerebbe bene.
In questo caso, uno dei due potrebbe funzionare?