向移动应用程序添加身份验证和授权的参考架构是什么。我是否需要访问令牌基础设施,或者我可以只使用私钥-公钥对来验证令牌数据。如果我还想发布开发人员 API,是否需要专用的身份服务器(如 wso2 身份服务器)。
提前致谢
更新 我尝试过的事情:我从事过一个项目,该项目对每个请求使用基于 PKI 的验证(令牌数据在客户端加密,令牌和加密数据随每个请求发送到服务器,服务器解密以验证客户端)这是一个自定义实现,我觉得这不是最好的方法,做了一些基础研究以找到正确的方法。发现 OpenAM 和 WSO2 IS,可以连接多个用户存储。它们支持基于令牌的身份验证和基于策略的访问控制以及其他功能。
我在这里寻找什么:我是否走在正确的轨道上,我是否应该继续评估这两种产品,因为我还想使用同一平台,同一应用程序的另一部分是基于 Web 的。