json API を使用したアプリがあります。ブラウザで Javascript を使用して ajax 呼び出しを送信します。各 API 呼び出しには API キーが必要です。
ユーザー名とパスワードを受け入れ、その特定のユーザーの API キーを返すログイン API を実装することを計画していました。キーは Cookie に入り、すべての API リクエストで返されます。(まだ json リクエストに含めることができます。Cookie はフォールバックになります。)
このスキームの大きな利点は、サーバー側でセッションを維持する必要がないことです。サーバー側のすべてがステートレスになります。クラスター化された環境では、ステートレス操作に大きなメリットがあります。
これは悪い考えですか?安全ですか?より良い方法はありますか?
https で実行しているとします。