这是我第一次构建处理身份验证的 API,我只是想确保我了解 API 身份验证/授权。
假设我构建了一个名为“Foobar”的 Laravel API,它将由三个独立的开发人员在三个独立的应用程序中使用:Alex、Brenda 和 Charles
每个开发人员都会获得一个唯一的 API 令牌,如下所示:
亚历克斯
- 开发一个 React 应用程序
- API 令牌:foobar_live_5e5bc73accc4b451d0dd1b6938c636a63f2eae45e
布伦达
- 开发一个 Vue 应用程序
- API 令牌:foobar_live_5dfd0f5c7b7f8c586786156b5f9d6ea927ee7fab6
查尔斯
- 开发 Flutter 应用程序
- API 令牌:foobar_live_94b2c990654e125f777ef1e500efb01aaedee9ef6
现在让我们专注于 Alex 的 React 应用程序。
当用户发送GET请求时,Alex 只需在头部传递他的 API 令牌。
但是,对于用户发送POST, PATCH,DELETE请求,Alex 不仅应该在标头中传递他的 API 令牌,还应该结合用户的电子邮件和密码来生成授权标头。
这有道理吗?仍在尝试围绕 API 架构进行思考。