обзор

В настоящее время я нахожусь в процессе создания API для приложения для обмена изображениями, которое будет работать в Интернете, а в будущем и на мобильном устройстве. Я понял логические части построения API, но я все еще пытаюсь удовлетворить свои собственные требования к части аутентификации.

Итак, мой API должен быть доступен всему миру: для тех, у кого есть гостевой доступ (например, не авторизованные пользователи могут загружать файлы), а также для зарегистрированных пользователей. Итак, когдазарегистрированный пользовательские загрузки, я, очевидно, хочу, чтобы информация о пользователе отправлялась вместе с запросом и прикрепляла эту информацию о пользователе к загруженному изображению через внешние ключи в моей базе данных.

Аутентификация через OAuth2 - реализация

Я понял, что OAuth2 - это путь, когда дело доходит до аутентификации API, поэтому я собираюсь реализовать его, но я действительно изо всех сил пытаюсь обдумать, как обращаться смой ситуация. Я думал об использованииclient credentials предоставлять и генерироватьтолько один набор учетных данных для моего веб-приложения и отправка запросов в API с егоclient secret получить токен доступа и позволить пользователям делать вещи. Сам процесс регистрации пользователей будет осуществляться с этим грантом.

Но как быть, когда пользователь зарегистрирован и вошел в систему? Как я могу обработать аутентификацию сейчас? Для этого потребуется еще один грант? Я думал о процессе авторизации во время входа пользователя, чтобы сгенерировать новый токен доступа. Это неправильный подход?

С чем мне нужна помощь

Мне нужно ваше мнение о том, как правильно обрабатывать поток аутентификации для моего случая. Этот двухсторонний процесс аутентификации может быть не тем, что мне нужно, но я так понял. Я был бы очень признателен за вашу поддержку.