Для чего при Api Token авторизации передавать API-ключ?
Еще вопрос на тему токенов.
По безопасности токен следует передавать в заголовках запроса, вместе с полем TokenExpiry каким-нибудь таким
А для чего для каждого запроса к АПИ передавать api-key, если к примеру в первом запросе мы передали имя, пароль, а ключ апи как бы указывает, к какой именно части апи мы хотим получить доступ (своего рода синоним хеша от роли и набора контроллеров)
Впрочем даже роль может быть привязана к юзеру, как и набор доступных ему контроллеров, в этом случае вообще нужны только имя и пароль.
Это затуп разработчиков Апи, или это обязательный атрибут, который зачем-то нужен? Зачем его всегда передавать?
Какая то каша у тебя в голове если честно. Как ты узнаешь между запросами авторизован ли пользователь и хватает ли у него полномочий обращаться к этому api?
Если я передаю токен, то я нахожу данное разрешение, а разрешение выдано конкретному пользователю, и в разрешении содержится информация о том куда разрешение, когда оно закончится.
При методе /login который выдает Токен нужно передать api-key, чтобы получить разрешение определенного образца.
Я говорю про токен который ты уже отдал пользователю.
Ты первый запрос делаешь на /login и получаешь в ответ строку токена
Второй запрос ты делаешь уже с полученным токеном и по сути тебе не нужен api-key, потому что токен - это идентификатор разрешения выданного конкретному человеку в конкретное место на конкретное время, или ты представляешь систему по-другому?