PHP RESTful API - Как проверить подлинность как приложение клиента и пользователя

Question

У меня есть пользовательский RESTful API в PHP, что я хочу, чтобы потреблять с помощью нескольких клиентов:

• CMS
• Сайт
• IOS приложение
• Android приложение

Я в настоящее время аутентификации пользователя с помощью формы регистрации, которая отправляет учетные данные на сервер, который вернуть маркер JWT.

Что я не уверен, как аутентифицировать клиентское приложение, которое будет использовать API. Например, как я могу определить, что вызовы API поступают из CMS? Нужно ли мне реализовать какой-то клиентский белый список, чтобы все 4 клиента, указанные ниже, разрешили использовать API и блокировали любые другие?

Мне нужна помощь, предложение или ссылки, чтобы понять лучшие решения для реализации таких вещей.

Спасибо,

Steve

Answer 1

Вы можете просто добавить тип устройства во время аутентификации. Для браузера его простое получение user-agent для других устройств добавляет еще один параметр, который добавляет тип устройства. Добавьте это устройство или user-agent при кодировании JWT. Это предполагает, что у вас есть несколько проблем с токенами для каждого устройства отдельно. Если это не так, обратите внимание на заголовки пользовательских агентов и добавьте дополнительное промежуточное ПО в приложение для него в Android или других приложениях. Надеюсь, это поможет