我在这里和其他文章中阅读了很多关于此的内容。首先说明一下我的情况。
假设我有以下 REST 后端:
GET /user以 JSON 格式返回所有用户。(无需登录)
POST /user注册新用户。(无需登录)
DELETE /user删除用户。(您确实需要登录)
POST /login发布登录凭据并在成功验证时返回 200 OK。这也创建了一个session带有username.
DELETE /login注销,这将删除会话。
对于用户身份验证和角色,我使用 Deadbolt-2,例如,当DELETE /user第一次调用时,session将查看以确定您是否已登录,然后username用于确定您是否具有正确的权限。
这行得通。我的问题不是关于这种授权/身份验证。然而,它是关于以下内容:
我想保护“公共”API 调用,例如:以某种方式,只有我批准的GET /user前端应用程序才能访问它们。
我已经阅读了很多关于 api-keys 和 HMAC 和 oAuth 的内容。但在我看来,他们谈论的是第一种情况,而不是第二种情况。那么在我的情况下我该怎么做呢?
感谢您的时间。