Я владею обоими, API-интерфейсом на api.example.com и фронтальным одностраничным приложением на example.com. API в основном является оболочкой для базы данных.

Теперь я хочу, чтобы пользователь одностраничного приложения (= клиентское приложение) проходил аутентификацию с помощью API. Для этого, насколько я понимаю, клиент (= одностраничное приложение) отправляет client_id вместе с user_id в API, а затем API выдает AccessToken.

Однако в моем одностраничном приложении я не уверен, где и как хранить токен доступа. Я ищу простую ссылку или хорошую концепцию, чтобы войти в систему пользовательский доступ к приложению API.

Друг предложил мне этот поток:

Клиент отображает входные данные для входа в систему (будь то электронная почта или имя пользователя) и пароль,Клиентское приложение отправляет запрос вашему API на получение неавторизованного токена (например, POST / api / v1 / auth / new),Сервер создает токен для приложения и отправляет его обратно,Клиентское приложение отправляет токен вместе с логином, паролем и подписью запроса в API (например, POST / api / v1 / mobile_authenticate),API проверяет и проверяет учетные данные,Если все в порядке, приложение использует токен для дальнейшего продвижения пользователяот имени.

Какие-нибудь мысли? Как это можно упростить или улучшить?