1
Я новичок в API Gateway, и я пытаюсь написать REST API, который предоставляет конечные точки для вызова пользователей. Из того, что я работал с другими API-интерфейсами, я знаю, что обычно вы получаете идентификатор и секрет, которые затем можно использовать для программного доступа к API.Учетные данные пользователя (id и secret) с шлюзом API
Я немного изучил, но до сих пор я нашел способы генерации токенов доступа в течение ограниченного времени (до 1 часа), но я бы хотел, чтобы пользователи сохраняли свой идентификатор и секрет постоянно.
Любая помощь или указание на дальнейшее чтение были бы очень признательны!
Я бы предупредил, что токены доступа, не имеющие срока действия, не являются наилучшей практикой безопасности. Большинство API-интерфейсов соответствуют шаблону стиля OAuth, где метод аутентификации возвращает аутентифицированный токен, который пользователь может затем использовать для доступа к другим ресурсам в течение ограниченного периода времени, после чего требуется повторная аутентификация. Это гарантирует, что скомпрометированный токен авторизации предоставит вору только ограниченный период использования. –