ソーシャル ネットワーク Web サイトの API を開発しています。この API は基本的に、ユーザーからのすべての要求 (フレンド リストの取得、ステータス更新の投稿など) を取得し、必要に応じて返信します。
認証用に OAuth 2.0 プロトコルを実装します。コンシューマー (私たちの php プロジェクト) には API ID とシークレットがあります。
基本的なシナリオ:
- クライアントがログインしたい
- API コンシューマー (php Web プロジェクト) はこのリクエストを受け取り、ユーザーを API に誘導します
- ユーザーは自分のユーザー資格情報を API に送信し、トークンを取得します。
- ユーザーが私たちのウェブサイトに戻ってきて、消費者にトークンを渡します。
- コンシューマーは API サーバーにアクセスし、アクセス トークンを取得します。
- これで、消費者 (php プロジェクト) はユーザーの個人情報にアクセスできるようになりました。
これはソーシャル ネットワークの Web サイトであるため、将来的にはアプリ デベロッパーが API を使用できるようにしたいと考えています。
私は API 設計の経験がありません。その流れは理にかなっていますか?最も単純な認証は、php プロジェクトを介してユーザー情報にアクセスすることだと思います。しかし、php コードでデータベースにアクセスしたくありません。クライアント側で ajax を使用し、API にリクエストを送信します。そして、より良い解決策があるはずだと思いますが、あなたは何を提案しますか?