我们有一个网站,使用该网站登录和验证自己身份的唯一方法是使用Facebook(这不是我的选择)。首次登录Facebook时,会自动为您创建一个帐户。
现在,我们想为我们的网站创建一个iPhone应用程序,并为其他人创建一个公共API以使用我们的服务。
这个问题是关于如何通过app / API向我们的网站进行身份验证的,分为两个部分:
从API到仅使用Facebook OAuth作为身份验证方法的网站处理REST身份验证的正确方法是什么?
我已经阅读并研究了很多有关REST API身份验证的标准方法。我们不能使用基于HTTPS的基本身份验证之类的方法,因为这样的用户没有凭据。喜欢的东西,这似乎是仅适用于使用API验证的应用程序。
目前,我认为最好的方法是您点击我们API上的/ authorize端点,它重定向到Facebook OAuth,然后重定向回该站点并提供一个“令牌”,API的用户可以使用该令牌来认证后续要求。
对于我们创建的官方应用程序,我们不一定需要以相同的方式使用公共API。与我们的网站交谈并验证用户身份的最佳方法是什么?
我了解(我认为)如何使用API(公共)密钥和秘密(私有)密钥对使用我们的API的第三方应用程序进行身份验证。但是,当要验证使用该应用程序的用户时,当我们唯一必须验证用户身份的方法是Facebook时,我对如何进行验证感到困惑。
我感觉好像缺少了很明显的东西,或者不完全了解公共REST API的工作方式,因此,我们将不胜感激任何建议和帮助。