我目前正在为旅游 web 应用程序使用 HTTP JSON API。webapp 将由第三方公司开发,它将在浏览器中使用 API。
所以我需要对 API 进行某种身份验证,第三方 webapp 才能使用它。我一直在研究一点关于 OAuth 的信息,但是有了这个,我有一个针对用户范围但不是针对应用程序范围授权的解决方案。
因为 web 应用程序将在浏览器中使用 API(使用 Ajax),所以我担心他们必须将凭据放入用户浏览器中使用 API。
另一种解决方案是将 API 的凭据放在服务器端,但这不取决于我。