我試圖讓我的頭腦如何將基於令牌的(基於密鑰的)身份驗證引入Web API(目前正在查看Sinatra,但也許是Rails),這將是由移動客戶端使用以及OAuth如何適合圖片。API身份驗證和OAuth2的使用
因此,假設我想創建一個使用Facebook進行身份驗證並獲取基本用戶數據的Web服務。在這裏,我的API將成爲Facebook OAuth服務器的客戶端,在用戶成功登錄Facebook時請求訪問令牌。然後,這將授予我訪問用戶的數據的權限,我將使用該數據在我的數據庫中創建一個條目,將此用戶特定的令牌與我希望鏈接到的任何其他應用程序信息一起存儲。
我想我到目前爲止有這部分權利,但這裏是我有點困惑。
我認爲我的API還需要某種形式的API密鑰才能授予移動用戶訪問權限,因爲我不想在他們的設備上傳輸和存儲Facebook密鑰。我是否需要單獨存儲我提供給客戶訪問我的服務的密鑰?有沒有「最佳實踐」的方式來做到這一點?