Budujemy system, który wymaga informacji logowania dla wszystkich stron. aplikacja została zaprojektowana tak, aby była aplikacją Restful z wykorzystaniem codeigniter asPhil Sturgeon biblioteka. Ta biblioteka używa klucza API tylko do autoryzacji wywołań api poprzez wysyłanie go przy każdym żądaniu przez połączenie HTTPS.

Nawet jeśli używa uwierzytelniania dwukierunkowego lub tylko klucza API. Tym, czego szukam przez chwilę, jest następujący scenariusz:

Użytkownik żąda aplikacji po raz pierwszy (np .:https://www.xyz.com) Następnie zostanie przekierowany na stronę logowania, aby sprawdzić dane uwierzytelniająceUżytkownik wprowadza nazwę użytkownika / hasło i wysłał je przez POST przez https

Serwer sprawdza, czy informacje są ważne, a następnie:

KLUCZ API powinien być dostarczony przez serwer do klienta jako zasób zidentyfikowany przez tę nazwę użytkownika (Oto pytanie ??? !!!)

Jak wysłać klucz API do klienta w bezpieczny sposób?

1) Czy mogę użyć ciasteczek sesyjnych i przywrócić KLUCZ API w pliku cookie, a następnie użyć tego KLUCZA API przy każdym nadchodzącym żądaniu (jest to brutalne Stateless of the Rest i nie jestem pewien, czy jest wystarczająco bezpieczny).2) Właściwie nie znam innych opcji :) Twoja kolej, jeśli możesz pomóc

Gdybyś mógł podać przykład, byłoby wielką pomocą, ponieważ znalazłem i przeczytałem wiele artykułów

:)