Оптимальная архитектура валидации клиента для API?

Question

[Иван Воробей]

Имеется:
Закрытое API, часть функционала с авторизацией пользователей, часть - нет.

Цель:
Ограничить возможность запросов исключительно доверенным клиентам.

Варианты:

1. Авторизировать клиент через JWT. Суть проста - посылаем пару ключ-секрет, проверяем и в ответ отправляем токен. Токен сохраняем на сервере. Все запросы к API идут с токеном.
   Проблема заключается в хранении токенов: пара ключ-секрет для клиента одна, а токенов будет много. Стоит ли..?
   UPD: Не знал что JWT не требует хранения выданного токена. Тем не менее это оставляет вопрос авторизации клиента
   
2. На клиенте храним строку, шифруем ее и отправляем на сервер. Проверяем, если все нормально - то обрабатываем запрос. Не выдается токен, как можно понять. Ну и как плюс для каждого клиента (сколько бы их не было) - одна запись в БД.
   
3. Еще какие либо?

Обращаю внимание:
Вопрос не о авторизации клиента парой логин-пароль, а именно о ограниченом доступе к API с клиента (моб. приложение, десктопное, веб и т.д. )

Comments

[Tsiren Naimanov]

OAuth2.0 если я правильно понял???

[Иван Воробей]

Tsiren Naimanov: нет, jwt

Answer 1

[Иван Воробей]

Для ищущих решение:
Валидацию клиента лучше всего делать через header

Answer 2

[GTRxShock]

Добрый вечер, вот вам статейка, чтобы наглядно посмотреть 2 общепринятых пути:
https://auth0.com/blog/2014/01/07/angularjs-authen...

p.s. по 1 варианту, что-то подсказывает, что суть jwt Вы упустили. Это полностью stateless аутентификация.
а 2 вариант, больше похож не велосипед. Прочитайте статью выше, и jwt решит все ваши проблемы)

Comments

[xfg]

А когда автор захочет отзывать выданные jwt, то начнется эпопея с написанием хаков, суть которых сведется к хранению этих отозванных jwt где-нибудь. На том сайте, что вы привели как раз есть такая статейка. И всё, весь stateless на этом закончится.

[Иван Воробей]

xfg: да, эта проблема тоже беспокоит. Хранить мертвые души...совсем не хочется.

[xfg]

Иван Воробей: ну можно их удалять после того как expire истек.
Я немного о другом, что в таком случае смысл jwt теряется, т.к. нужно куда-то обращаться, чтобы узнать отозван токен или нет. Отчего ушли (хранение токенов), к тому и пришли (хранение отозванных токенов)





















































































































































































































































































































































































































































































































































































































































































.