パブリック API を備えた Web サイトがあります。
mysite.com api.mysite.com (OAuth2.0 で保護)
私のウェブサイトでは、他のウェブサイトの所有者が、Facebook の友達ウィジェットと同様に、自分のページに iframe ウィジェットを配置できます。コンシューマーがウィジェットにログインするとき、パブリック API と通信するためにそれが必要です。現在、3-legged auth をセットアップしています。
- clientId を使用してコードをリクエストする
- clientId、clientSecret、コードを使用して accessToken をリクエストする
- 次のような API 呼び出しを行います。
https://api.mysite.com/me?access_token=12345
私の API はステートレス (セッションなし) であり、アクセス トークンに依存してすべての要求を認証します。OAuth2 API と通信するように JavaScript ウィジェットを設定するにはどうすればよいですか? 私が最初に考えたのは、アクセス トークンを Cookie に保存することでしたが、それは安全ではないことがわかっています。