我有一个 REST api( nodejs+express+mongo) 被两种类型的用户使用:
- 最终用户(通过网站、使用 google-signin 的移动应用程序进行身份验证)。
- 将以编程方式使用 API 的网关/服务。
我的问题是关于为第二种用户处理身份验证的最佳方法是什么?用户存储在我的数据库中(使用他们的电子邮件 ID 链接到 google-signin)
最终用户创建网关和服务,因此我可以提供一个接口来管理凭据。(例如,如果我使用 API 密钥或公私密钥对,那么用户可以使用该网站添加/删除网关的凭据/服务)。
我正在使用 passport-google-oauth2 策略来处理第一种情况的身份验证。为第二种消费者处理身份验证的最佳方法是什么?