開発者にアプリケーション用の REST API を提供する BaaS ソリューションを開発しています。SSL に加えて、アプリケーション (トークン?) とクライアント (ユーザーとパスワード) の両方を認証する REST API を保護したいと考えています。
クライアントの基本認証とアプリケーション認証のトークンについて考えていましたが、登録段階でアプリケーション開発者に与えられた単純な UUID トークンが REST API を保護し、アプリケーションを認証する方法については考えられません。
OAuth についても読みましたが、認証メカニズムのソリューションとしては適していないと思います。
これを正しい方法で達成するにはどうすればよいですか?
ありがとう!