我想对这个 REST API 身份验证概念有意见。
我不确定如何设计用户身份验证和客户端身份验证。
如果用户未登录,我应该将令牌链接到“匿名用户”吗?
如果没有 SSL,如果有人拦截了 clientId & clientSecret/publicToken & accessToken,他可以假装是用户或客户端?
我想对这个 REST API 身份验证概念有意见。
我不确定如何设计用户身份验证和客户端身份验证。
如果用户未登录,我应该将令牌链接到“匿名用户”吗?
如果没有 SSL,如果有人拦截了 clientId & clientSecret/publicToken & accessToken,他可以假装是用户或客户端?