我正在設計一個簡單的REST API與Stormpath
Facebook集成並想知道什麼是用戶驗證的最佳模式。目前,我沒有爲用戶創建任何端點,所以我的端點的所有請求的身份驗證是這樣的:如何使用Stormpath Facebook集成來驗證REST API
- 獲得基於
API_ID
和API_SECRET
在我的應用程序配置StormpathApplication
對象 - 獲取Stormpath
Account
基於對象在每個請求中指定的Facebook令牌基於帳戶狀態請求身份驗證或拒絕
這遵循或多或少 並且正常工作,因爲即使用戶帳戶不存在,它也會在首次獲得對Stormpath的帳戶請求時創建。它是否有意義並且足夠安全?我正在尋找一些文檔或最佳做法,但找不到任何東西。
我還需要獲得/生成唯一的用戶ID,這樣我可以在我的系統與用戶數據的一些關係 - 這樣一個問題,什麼是這裏最好的方法:
- 產生一些獨特的ID,它與用戶的電子郵件關聯從Stormpath拿到並保存在我的系統 - 我認爲這違反了像Stormapth這樣的服務的一點點想法,其封裝了所有用戶數據
- 執行與上面相同,但其存儲在Stormpath帳戶
customData
- 使用可從用戶URI獲得的Stormapth用戶資源ID
請指教。
只是爲了記錄我正在使用Stormpath Java SDK並將API設計爲移動社交應用程序的後端,因此安全性對我來說非常重要。
我希望這個API成爲移動社交應用的後端,所以安全性在這裏很重要。我認爲我會堅持我目前所擁有的內容,但希望將來能夠看到一些更新的文檔,重點關注使用Stormpath的社交登錄/ API驗證模式/最佳實踐。 – mkorszun