ここや他の記事でこれについて多くのことを読みました。まず、私の状況を説明させてください。
次の REST バックエンドがあるとします。
GET /userすべてのユーザーを JSON で返します。(ログインする必要はありません)
POST /user新規ユーザーを登録します。(ログインする必要はありません)
DELETE /userユーザーを削除します。(ログインする必要があります)
POST /loginログイン資格情報を投稿し、認証が成功すると 200 OK を返します。また、これは で を作成sessionしusernameます。
DELETE /loginログアウトすると、セッションが削除されます。
ユーザー認証とロールには Deadbolt-2 を使用するため、たとえばDELETE /userが最初に呼び出されたときsessionに が表示されてログインしているかどうかが判断され、次にusernameが使用されて正しい権限があるかどうかが判断されます。
これは機能します。私の質問は、この種の承認/認証に関するものではありません。ただし、次の点についてです。
次のような「パブリック」API 呼び出しを保護したい:私が承認したGET /userフロントエンド アプリケーションのみがアクセスできるようにする。
私は、API キーと HMAC と oAuth について多くのことを読みました。しかし、彼らが話しているのは最初のシナリオであり、2 番目のシナリオではないように私には思えます。では、私の状況ではどうすればよいでしょうか。
お時間をいただきありがとうございます。