我正在使用 RESTful API 将服务器端 Web 应用程序转换为单页 JavaScript 应用程序。目前。用户可以使用 Facebook、Twitter、Google 等或通过电子邮件和密码进行身份验证。如何允许在 RESTful API 上运行相同形式的身份验证?我猜它看起来像这样:
- 在客户端向提供者进行身份验证。
- 从 Oauth 响应中获取一些内容并将其传递给我服务器上的 API 以换取访问令牌。
- 对后续 API 调用使用基于令牌的身份验证。
我在正确的轨道上吗?如果是这样:
- 是否有一个 JS 库可以处理多个提供程序,或者每个提供程序都需要包含 Facebook 的 JS SDK 之类的东西?
- 生成令牌的 API 应该是什么样子?特别是,我需要 Oauth 提供者提供什么以及如何在服务器上验证它?