API가 클라이언트가 인증해야 할 때 두 가지 다른 시나리오가 사용되는 것을 보았고 상황에 어떤 경우를 사용 해야하는지 궁금합니다.
예 1. 회사는 API를 사용하여 제 3자가 HTTP Basic을 사용하여 토큰 및 비밀로 인증 할 수 있습니다.
예 2. API는 HTTP Basic을 통해 사용자 이름과 비밀번호를 수락하여 최종 사용자를 인증합니다. 일반적으로 그들은 향후 요청을 위해 토큰을 돌려받습니다.
내 설정 : 모바일 및 웹 앱의 백엔드로 사용하는 JSON API가 있습니다. 모바일 앱과 웹 앱 모두 토큰과 비밀을 전송하는 것이 좋습니다.이 두 앱만 다른 제 3자를 차단하는 API에 액세스 할 수 있습니다.
그러나 모바일 및 웹 응용 프로그램을 사용하면 사용자가 게시물을 로그인 및 제출하고 데이터를 볼 수 있습니다. 따라서 각 요청마다 HTTP Basic을 통해 로그인하기를 원합니다.
어떻게 든이 두 가지 방법의 조합을 사용하거나 각 요청마다 최종 사용자 자격 증명 (사용자 이름 및 토큰) 만 보내 집니까? 최종 사용자 자격 증명 만 보내는 경우 클라이언트의 쿠키에 저장합니까?